SVN信息泄露和SQL注入更配哦 - WileySec's Blog

SVN信息泄露和SQL注入更配哦

一直以来都被Seay SVN漏洞利用工具坑了,这款工具是扫描SVN信息泄露的工具,但是我用这款工具扫了很多存在SVN信息泄露的Web站点,是存在但是列不出来文件,以为是不存在,直到最近,我想用其他工具试试,没想到列出来了,错过了这么多漏洞啊~ 也是自身原因,没有解决问题的欲望所以到最近才发现~


Feature


端口扫描

94801-915g9vj5ml8.png

发现只打开了常用的端口,888端口访问403,目录扫描后没有phpmyadmin的影子,那只好从Web入手了

目录扫描

50096-o9kp25j1mcj.png

扫描到了一个 .svn 目录,心想肯定是SVN信息泄露了

79782-2ntcvn20myd.png

通过 DumpAll 工具将泄露的源代码下载到本地,目录结构如上,发现是ThinkPHP3.2.3

源码审计

我一般喜欢黑盒和白盒联合测试,针对某个功能点去测有没有漏洞

随便点个新闻页,看看有没有注入

47820-rbu77drunbe.png

尝试 and 1=1 and 1=2 注入语句进行判断

94945-yutfn2qk4m.png

and 1=1 为真,返回页面正常

56819-ba1c98irpmg.png

and 1=2 为假,返回页面错误,无数据

初步判断貌似是存在SQL注入的,代码审计看看

23843-752in23tud5.png

根据判断注入点的URL,可直接定位代码位置

16165-o6xtkw106cr.png

detailYd 函数中,第133行

$result= $index_lqs->detailYd($decument_id);

调用了 $index_lqs 这个对象,这个对象是在120行实例化的

$index_lqs=A('Apilqs/Index');

64873-pyhott42qw.png

定位到这个实例化对象的类的位置

可以看到有一个SQL注入,直接拼接了SQL语句

$document_detail =D('Document')->where("status=1 and id=$decument_id")->find();

$article = M('document_article')->find($decument_id);//取文章具体内容

79727-1twftcfnbvs.png

通过尝试注入,发现是时间盲注

直接上SQLMAP试试

05760-bmdrokclqsb.png

发现注入不了 明明有时间盲注 SQLMAP注入不了 404其实是假状态码 已经被waf拦截了

81023-bybd31gs8dm.png

查看ip是哪个主机商 发现是阿里云 阿里云牛批~

这个其实是有个技巧的 攻击者可以用阿里云服务器上弄个SQLMAP跑注入就可以了

于是找了我的好基友 白嫖来了一台阿里云服务器

下载了SQLMAP就是一顿淦!!!

95746-5ynfjqjgqhh.png

跑出来了 不继续了...

添加新评论

电子邮件地址不会被公开,评论内容可能需要管理员审核后显示。