WooYun.org

URL地址：
1 www.icake.cc/cake.php?id=26
一般php对应的数据库都是mysql，先尝试用and 1=1 和and 1=2来判断是否有注入，但是没有反映，难道没问题？然后进一步尝试看有没有数据库特殊报错，把id的值改为 (select * from mysql.user)结果有报错弹窗：

初步怀疑会存在sql注入，直接用sqlmap来跑了。
先确定下有没有Payload出现：

2	python sqlmap.py -u http://www.icake.cc/cake.php?id=26  --dbms mysql

OK，初步成功了，已经有部分服务端信息出现了，然后就是查数据了，不过属于盲注，速度比较慢，一个一个字符跑
直接上图了

不继续跑数据了，我们换个方向，看是否可以getshell。
Nmap扫描了下发现21和3306端口是对外的，而且没有禁止外网IP登录数据库，尝试用10个线程来跑mysql用户数据表：

但是可以外网登录的hash不是弱密码，破解不到mysql帐号，继续尝试别的方法。
看看还有别的什么数据库：

6	python sqlmap.py -u http://www.icake.cc/cake.php?id=26  --dbms mysql --dbs

结果发现上面有47个数据库，其余的都是关于”tuomao”的站点数据库，貌似业务不只是订蛋糕。有个关键的数据库是ftp相关的，我们尝试跑数据。

密码是md5的，还好有两个弱口令，Admin表里面的账户登录不了，但是普通的users可以登录。
站点挺多的，而且居然是读写权限：

发现有个sql文件在网站根目录，没管了，直接看db的配置文件，用mysql连上去看看有什么东西，好巧，在i_vip_address表里面居然发现我们公司一位美女同事也在上面定过蛋糕送到我们楼上。
然后直接上传一个webshell：

不过权限是www普通帐号权限，尝试通过反弹到服务器之后准备提权到root，但是初步失败了，也不打算继续了，友好清理现场退出。