一直以来都被Seay SVN漏洞利用工具坑了，这款工具是扫描SVN信息泄露的工具，但是我用这款工具扫了很多存在SVN信息泄露的Web站点，是存在但是列不出来文件，以为是不存在，直到最近，我想用其他工具试试，没想到列出来了，错过了这么多漏洞啊~ 也是自身原因，没有解决问题的欲望所以到最近才发现~

Feature

端口扫描

发现只打开了常用的端口，888端口访问403，目录扫描后没有phpmyadmin的影子，那只好从Web入手了

目录扫描

扫描到了一个 .svn 目录，心想肯定是SVN信息泄露了

通过 DumpAll 工具将泄露的源代码下载到本地，目录结构如上，发现是ThinkPHP3.2.3

源码审计

我一般喜欢黑盒和白盒联合测试，针对某个功能点去测有没有漏洞

随便点个新闻页，看看有没有注入

尝试 and 1=1 and 1=2 注入语句进行判断

and 1=1 为真，返回页面正常

and 1=2 为假，返回页面错误，无数据

初步判断貌似是存在SQL注入的，代码审计看看

根据判断注入点的URL，可直接定位代码位置

在 detailYd 函数中，第133行

$result= $index_lqs->detailYd($decument_id);

调用了 $index_lqs 这个对象，这个对象是在120行实例化的

$index_lqs=A('Apilqs/Index');

定位到这个实例化对象的类的位置

可以看到有一个SQL注入，直接拼接了SQL语句

$document_detail =D('Document')->where("status=1 and id=$decument_id")->find();

$article = M('document_article')->find($decument_id);//取文章具体内容

通过尝试注入，发现是时间盲注

直接上SQLMAP试试

发现注入不了 明明有时间盲注 SQLMAP注入不了 404其实是假状态码 已经被waf拦截了

查看ip是哪个主机商 发现是阿里云 阿里云牛批~

这个其实是有个技巧的 攻击者可以用阿里云服务器上弄个SQLMAP跑注入就可以了

于是找了我的好基友 白嫖来了一台阿里云服务器

下载了SQLMAP就是一顿淦！！！

跑出来了 不继续了...