0x01 SQL注入

73327-slqqdgm5hbs.png

填入单引号

56796-qualdih4dbf.png

页面报错500

65936-81um8p96fp.png

两个单引号

14002-ysq2k0hdab.png

页面正常，显示无报名资料

98470-kgdpmaoxi7.png

这里首先构造一个true条件，先获取功能点

44785-c61vo5xc0ip.png

显示信息页面有个下载准考证

25809-x5jw2wb65u.png

打开是个pdf

51297-e73afhk0x3.png

查看数据包，发现是根据post的id参数生成pdf文件

01019-qes1y54wmk.png

这里经过测试，数字型注入35个字段

id=-2) Union(Select(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29),(30),(31),(32),(33),(34),(35) )#

继续注入获取数据表system_manager字段有

manager_id,manager_account,manager_passwd,manager_passwd_salt,manager_name,manager_admin,date_modify,manager_status,manager_lang

字段里面有个manager_passwd_salt，尝试读取一下看看密码的盐

62730-rm7dn8h2xyf.png

感觉解开无望，换一个思路，注出所有用户

ming232,sysadmin,vtsh008,vtsh075,vtsh211,vtsh213,vtsh261,vtsh281,vtsha36,vtshL07

尝试后台登入，最终通过爆破用户名成功登入后台，但是非管理员权限

68119-uafqqxxd2t.png

0x02 超级管理员

0x03 峰回路转

0x04 GetShell

0x05 提权

文章作者：Juneha文章链接:https://blog.mo60.cn/index.php/archives/175.html

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

END