首頁(yè) 資訊記一次從發(fā)卡平臺(tái)滲透到通用平臺(tái)SQL注入 0day漏洞挖掘的過程

記一次從發(fā)卡平臺(tái)滲透到通用平臺(tái)SQL注入 0day漏洞挖掘的過程

來源：泰然健康網(wǎng) 時(shí)間：2025年09月20日 04:08

引言

本文介紹了一次從發(fā)卡平臺(tái)滲透到通用平臺(tái) SQL注入 0day漏洞挖掘的記錄，全程并未對(duì)任何資產(chǎn)進(jìn)行任何破壞、數(shù)據(jù)竊取和獲利獲益等行為，只用于學(xué)習(xí)研究目的。因內(nèi)容信息敏感，部門內(nèi)容不放置截圖，均以文字記錄。

漏洞挖掘

訪問發(fā)卡店鋪，嘗試輸入 /admin ，發(fā)現(xiàn)管理平臺(tái)，根據(jù)管理平臺(tái)樣式，確認(rèn)為acg-faka框架。

通過該框架的github找到源碼，進(jìn)行代碼審計(jì)后并沒有發(fā)現(xiàn)什么漏洞，也沒有默認(rèn)密碼等突破口，嘗試基礎(chǔ)的弱口令爆破后依舊無果。

于是查看該店鋪首頁(yè)是否存在一些有價(jià)值的利用信息，商品介紹中發(fā)現(xiàn)一個(gè)卡密使用平臺(tái)，該平臺(tái)提供一個(gè)在線服務(wù)，至于是什么服務(wù)，這里就不介紹了，通過輸入卡密使用該在線服務(wù)，于是針對(duì)該平臺(tái)進(jìn)行滲透測(cè)試。

很快發(fā)現(xiàn)了該平臺(tái)存在SQL注入漏洞，使用sqlmap進(jìn)行利用。

發(fā)現(xiàn)幾張關(guān)鍵表信息，卡密表、管理員賬戶表和用戶信息表，因?yàn)樽⑷腩愋褪遣紶柮ぷ?，dump整表需要很長(zhǎng)時(shí)間，因?yàn)榫W(wǎng)絡(luò)原因也不穩(wěn)定，同時(shí)流量明顯，于是準(zhǔn)備從管理員密碼表入手，注入得到管理員賬戶和密碼，密碼為MD5加密，通過cmd5查詢后得到明文。

該平臺(tái) /admin 路徑暴露了管理平臺(tái)，使用上面得到的賬戶密碼成功登錄，后臺(tái)可以查看到所有卡密和用戶信息。

因?yàn)榈赇伜推脚_(tái)是所屬一個(gè)商家的，所有猜測(cè)該賬戶密碼可以登錄發(fā)卡平臺(tái)的后臺(tái)，但是嘗試后失敗了，后續(xù)思考了一下，該平臺(tái)肯定有哪些會(huì)和發(fā)卡平臺(tái)撞庫(kù)的地方，還是從撞庫(kù)的角度出發(fā)。

進(jìn)入在線服務(wù)平臺(tái)的后臺(tái)觀察用戶信息表，在最早注冊(cè)的幾個(gè)賬戶入手，查看他們的密碼，因?yàn)檫@些用戶很可能是商戶自己注冊(cè)測(cè)試使用的，密碼大概率會(huì)撞庫(kù)。

sqlmap使用 --sql-shell 進(jìn)入sql命令交互終端，輸入 select password from users where username=<username>

嘗試幾個(gè)可能的賬戶，查詢的密碼均為MD5，基本都為弱口令，可以反查明文，但放到發(fā)卡平臺(tái)登錄后都失敗了。

注：acg發(fā)卡平臺(tái)沒有做到最小化信息反饋，當(dāng)輸入錯(cuò)誤的用戶名時(shí)彈出提示用戶名不正確，當(dāng)輸入正確的用戶名時(shí)彈出密碼不正確，因此可以幫助我排查哪些用戶名是有效的。

在上述撞庫(kù)的賬戶密碼中存在一個(gè)賬戶信息是有效的，但密碼不對(duì)，此時(shí)已經(jīng)沒有更多的密碼信息可以撞庫(kù)測(cè)試了，這時(shí)準(zhǔn)備放棄了，但又想了一下，是否可以根據(jù)賬戶的特征構(gòu)造一些弱口令呢，該賬戶用戶名為 xxx@xxx.com 格式，比如構(gòu)造 @ 前面的內(nèi)容作為密碼，是否可以成功呢？運(yùn)氣也是好，第一次嘗試就進(jìn)入了后臺(tái)。

后臺(tái)可以給賬戶充值，獲取卡密，查看商戶收款支付寶公私鑰等敏感操作。

0day識(shí)別

至此滲透之旅就結(jié)束了，沒有發(fā)現(xiàn)其他進(jìn)一步的漏洞信息，例如RCE等。

之前的切入點(diǎn)是在在線服務(wù)平臺(tái)上，腦筋一轉(zhuǎn)，這個(gè)平臺(tái)是否是一個(gè)開源平臺(tái)或通用平臺(tái)呢？于是去尋找該平臺(tái)的特征，發(fā)現(xiàn)body中有一個(gè)特征可以識(shí)別該平臺(tái)，fofa搜索結(jié)果發(fā)現(xiàn)1w多個(gè)資產(chǎn)，2300多個(gè)獨(dú)立IP，也算是找到個(gè)通用小0day了。

因?yàn)樵撈脚_(tái)源碼沒有找到開源地址或作者聯(lián)系方式，沒有辦法提交CVE，就讓這個(gè)day爛在里面吧，后續(xù)也不會(huì)利用該day進(jìn)行任何破壞，竊取數(shù)據(jù)和獲利獲益等行為。

總結(jié)

本次滲透測(cè)試的主體思路是信息收集和密碼撞庫(kù) ，在一個(gè)切入點(diǎn)無果的情況下，尋找更多的相關(guān)信息，從其他位置切入，找找是否存在漏洞，同時(shí)收集其他位置滲透獲取的信息，嘗試撞庫(kù)，轉(zhuǎn)為切入主體資產(chǎn)，或許會(huì)有奇效。

申明：本次滲透并沒有對(duì)任何資產(chǎn)進(jìn)行任何破壞，竊取數(shù)據(jù)和獲利獲益等行為，只用于學(xué)習(xí)目的。

__EOF__

本文作者： tdragon6 本文鏈接： https://www.cnblogs.com/tdragon6/p/17749964.html 關(guān)于博主：評(píng)論和私信會(huì)在第一時(shí)間回復(fù)?；蛘咧苯铀叫盼?。版權(quán)聲明：本博客所有文章除特別聲明外，均采用 BY-NC-SA 許可協(xié)議。轉(zhuǎn)載請(qǐng)注明出處！聲援博主：如果您覺得文章對(duì)您有幫助，可以點(diǎn)擊文章右下角【推薦】一下。