现在只对常读和星标的公众号才展示大图推送,建议大家能把威零科技“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零科技公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现主意
本文章完全是为了水证书,分享一个快速打法,不喜勿喷,感谢大佬们的指正。
前言
某天下午,辽宁某高校的管理员在平台测试证书上架时,无意间提前泄露了证书上线的信息,于是,抱着试试的心态去挖了一下。
资产收集
可以通过:
icp.name="辽宁省交通高等专科学校"&&web.body="注册"
或者
icp.name="辽宁省交通高等专科学校"&&web.body="登录"
快速找一下资产,不过这个学校的资产确实不多,于是我就往小程序和公众号方向去挖了
漏洞发现
在查看BP历史包的时候,发现了一个可疑的接口,该接口可以查询到某个部门的成员信息,一般这种地方极大可能是存在注入的
很明显可以发现是字符型的注入,测试一个'(单引号),页面直接报错
测试两个''(单引号),页面回显正常,但是没有数据了
这里验证了前面所说:这个地方极有可能存在注入
因为前面有报错信息,所以第一个想到的是报错注入,但是当时随便丢了几个payload,结果都是403,于是就换思路了。
漏洞利用
然后我就去尝试布尔型的注入,前面不是查询不到数据嘛,很有可能就是我们查询的条件有问题,于是我尝试使用: XXX'or'1'like'1
还是403;
测试观察是不是对什么关键字进行了过滤?这里经过测试后发现,只需要将or换成||就没有进行拦截了,构造poload: '||+1+||'0
中间为1时
中间为0时
很明显的页面回显不同,接下来我们只需要找到一个能用的数据库内置函数替换在中间的“1”的位置即可完成注入,
奈何本人实力不行实在没有找到能利用的函数,于是再次转换思路;
这里是PHP的语言基本上就是mysql的数据库,由于我也不确定是什么waf,还是后端限制,抱着尝试的心态,用内联注释尝试绕过
比如我需要绕过user() -->/*!11111user()*/,这里当时是想着绕安全狗的时候可以对11111进行爆破,得到能绕过的值
这里有很多种的写法,主要是看能不能过比如
/*!11111left(user(),1)*/='r'等等
发送至BP爆破
成功得到一个能绕过的
这里我以为/*!10381*/就可以进行绕过了,但是不行,有师傅懂得可以加我好友交流学习一下。(文章末尾有群)
经过一番思索之后,猜测可能是后端限制的问题,只要你请求次数够多,有些请求没有被拦截处理,从而绕过了拦截(个人猜测,大佬轻点喷)
后续操作就比较简单了
只需要为判断数据返回的不同即可
'||+/*!10381left(user(),1)='r'*/+||'0 返回
'||+/*!10381left(user(),1)='d'*/+||'0 返回
通过长度对比,即可得到用户的首字母“r”
广告时刻
欢 迎 加 入 星 球 !
威零安全,星球永久开放,内容包括:实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年,后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。
或者翻到文章末尾添加机器人进群考察。
星球的最近主题和星球内部工具一些展示
每日祝福
祝师傅们,天天高危、日日0day!!!!!!!!!!!!!!!
PY交易
为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流
由于“威零科技安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊
原文始发于微信公众号(威零科技):记一次EduSrc新证书站的注入绕过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论