对学校图书馆系统的一次sql注入的挖掘

前言：

按理来说首先肯定是信息收集啥的，不过这个系统是我们校内网系统所以只是测试了功能点
话不多说，直接开冲借书超期查询出存在sql注入漏洞

首先看看页面

可以看到，有一个搜索框，输个1测试下

再加个单引号测试一下，初步判断有无注入

好家伙，等了半分钟都没变化，我还以为你没传完数据呢
这时，我开始怀疑是不是有搜索框注入

话不多说，直接burp重放测试
看到为POST提交，TextBox3参数为我们搜索框输入的内容，且输入1时会有以下响应

可惜的是，我发现输入1'也会是这个响应

经过很长时间的测试以及构造payload，我发现了奇点
我换了一种思路，假设输入1和1'返回200是数据库正确处理数据，那也就是说，输入1'不弹窗只是单纯的不弹窗，和报错没关系
然后我经过了一段时间的探索，发现用or可以成功让他真正意义的报错

如图：

看一下浏览器，显示的是这样

构造的payload如下
-1' or 2+318-318-1=0+0+0+1 --+        -->ture
-1' or 3+318-318-1=0+0+0+1 --+        -->false
-1' or 3*2<(0+5+318-318) --+        -->false
-1' or 3*2>(0+5+318-318) --+        -->false
-1' or 2+1-1-1=1 and 000318=000318 --+        -->ture
-1' or 000318=000318 and 3+1-1-1=1 --+        -->false
-1' or 3*2=5 and 000318=000318 --+        -->false
-1' or 3*2=6 and 000318=000318 --+        -->ture
-1' or 3*2*0=6 and 000318=000318 --+        -->false
-1' or 3*2*1=6 and 000318=000318 --+        -->ture


于是乎，成功判断该处有sql注入漏洞

把burp的POST数据包复制粘贴到1.txt，直接上sqlmap跑

因为是自己校的网站，而且sqlmap跑的速度太慢（光跑数据库就跑了半个小时），所以就不继续深挖了。

本文始发于微信公众号（疯猫网络）：对学校图书馆系统的一次sql注入的挖掘