利用模擬器安裝好APP,然后進行BURP抓包分析

通過各種手工分析,找到某處SQL注入漏洞.

之前信息收集的時候已經知道目標開放1433端口(爆破失敗) 因此注入的時候,直接?--dbms=mssql? 加快速度.

注入點類型:

SA權限的注入點,原諒我菜,目前還沒找到后臺地址,數據庫實在太特么亂了,雖然只有幾個數據表,但是我不想一個一個的去翻,直接讀sa密碼解密失敗,行吧,嘗試下--os-shell?結果如上圖,告訴我不支持,那我們改下類型,指定跑?stack queries?試試。

成功跑出,并且沒有降權,連提權都省了。

接下來就是找絕對路徑,然后寫shell,拿到shell就方便多了,為什么不直接加用戶上服務器呢?因為現在的服務器都是各種云警報,我還深刻的記得某天晚上凌晨4點上某服務器,結果管理員3分鐘不到開機叫我袞蛋的事,所以呢,能不上服務器還是別上服務器的好。

已知服務器容器為:IIS7.5? 08服務器

獲取絕對路徑方式:?type C:\Windows\System32\inetsrv\config\applicationHost.config

不過由于注入點變成了延時的,所以速度超級超級慢,我這尿性忍不了,讀文件讀到一半放棄了.換了個思路

dir/s/b d:\initial.aspx? 搜索網站的這個文件的路徑,得到2個路徑,目測不會用中文,所以猜測第一個是絕對路徑,然后echo 123試試,發(fā)現正確,然后直接寫一句話,成功getshell

馬在根目錄不好,上菜刀第一件事先換個隱蔽點的地方在說別的

然后在獲得SA密碼

得到sa密碼之后我只想說,我為什么會天真的想著去爆破? 用腦子想想也能猜到密碼肯定是超級復雜的,我也是服了自己,浪費我流量。

然后繼續(xù)之前的,讀取配置文件,獲得后臺和代理后臺地址:

另外頭像處,總感覺有點問題,頭像目錄沒有限制執(zhí)行權限,然后這個APP是微信登陸抓取微信頭像,并且登陸后還可以自定義上傳頭像,感覺這里有點問題,不過我模擬器還有手機上傳抓包APP都卡蹦了,始終抓不到上傳包,反編譯想找上傳接口嘗試的,結果還是那句話,菜是原罪,看不懂....