登录进来发现没啥东西
![图片[1]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849868.png)
开始f12大法,密密麻麻懒得这样看了
![图片[2]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849870.png)
直接吧js拖出来看
![图片[3]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849876.png)
加载了一个url和参数
尝试有没有sql注入
![图片[4]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849877.png)
空白页面,”返回正常,直接**
******
![图片[5]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849878.png)
root权限可惜没有跟路径
![图片[6]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849880.png)
直接数据库dump,反正都是要脱下来的,直接dump不怕喝茶吗。当然是非法站点了
如图:
![图片[7]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849881.png)
当务之急是先找到管理员表
![图片[8]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849889.png)
可惜解不开,先丢一旁
![图片[9]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849890.png)
按照我的思路,先是管理员表,然后是菜单表
因为在不知道具体url路径是什么功能,菜单表会吧一些用户权限的url做好放在这个表里
菜单表不知道是不是服务器的原因,跑个字段要半小时,先放在这里让他跑,睡醒在看
![图片[10]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849891.png)
密密麻麻的一大片,找到用户权限才能使用的基本上都没啥用
在一处发现一个上传和编辑的是没有做校验
![图片[11]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849893.png)
发现upload上传这块没做用户校验
直接构造poc
![图片[12]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-16788498931.png)
尝试上传
![图片[13]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849894.png)
连接shell
![图片[14]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849899.jpeg)
![图片[15]-实战 | 一次js到SQL到接口Getshell-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-197574-1678849900.png)
原创投稿作者:华强
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布:https://www.secpulse.com/archives/197574.html
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
![表情[chi]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/chi.gif)
![表情[xiaojiujie]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/xiaojiujie.gif)
![表情[weiqu]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/weiqu.gif)
![表情[qinqin]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/qinqin.gif)
![表情[leiben]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/leiben.gif)
![表情[baiyan]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/baiyan.gif)
请登录后查看评论内容