从SQL安全到内网漫游

admin

前言
在一次渗透实战中，发现了一个注入点，最后成功的漫游了内网。

正文
在渗透中遇到一个站点，顺手测试了一下，在搜索框随便输入了一个字符加个单引号直接报错了，差不多可以确认这里存在注入了。一般这种站安全性极差，测试了下其他地方，在一个登录框处又发现一个注入。



直接丢到sqlmap里面跑就行了。这里就不重新跑了，贴sqlmap的日志图出来。



  从上面的图来看，其实我们并没有跑出password列，因为这是access数据库，sqlmap是基于暴力破解的形式，我们可以看看他的列名的特点，是admin_xxx,那么我们是不是可以猜测一下password列名的形式会不会是admin_password/admin_passwd/admin_pw 或者其他。又或者不管有没有注出来password我们先用注出来的admin账户进行暴力破解。这里我两者都试了，最后通过后者进入的。好了成功进入后台，找上传点。折腾了一番终于在一个比较隐蔽的地方找到了上传点。上传，成功拿到shell。