edusrc通杀漏洞笔记(注入篇)

admin 2022年10月1日10:40:58评论137 views字数 1335阅读4分27秒阅读模式


免责声明

以下涉及到的漏洞已提交至edusrc教育行业漏洞报告平台并已修复,由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉,谢谢!

全文纯手打,如果有发现错误的师傅请及时联系本人修改~

0x00 关于本文
SQL注入是很常见的漏洞了,网上文章也特别多,各位看官自行百度(人比较懒),属实废话了,本人文采也不是特别好,所以该文章截图会比较多,不喜勿喷。还有,这是SRC挖掘,所以都是点到为止,不过有师傅说菜我也照单全收,因为我是要成为xx康第一打螺丝手的存在,废话不多说,开始正文。

0x01 关于EDUSRC
EDUSRC收录全国高校的所有漏洞,目标多,范围广,上分也无外乎两个:1、web打点 2、厂商0day,本文就是web点到通杀

0x02 信息收集
关于信息收集,当对一个网站各种工具、功能点、思路都用上之后,burp的Target模块有个功能会基于数据包对该站点的资产进行爬虫,这个具体也不详细说了,随缘找到如下站点

edusrc通杀漏洞笔记(注入篇)

点击排序,直接BP找到对应数据包即可
发送到reperter模块,常规1/1正常。1/0报错

edusrc通杀漏洞笔记(注入篇)

由于这个站是java写的所以数据库基本就是Oracle,Mysql这两种
如图,看到这个sortcolumn自然就想到排序注入了,其实像一些desc、asc、orderby 、limit等等这种地方都可能会存在注入点。
构造sql语句1/decode(length(user),4,1,0)
Ps:在mssql和mysql中,返回长度值是调用len()函数;在oracle中则是通过length()来返回长度值
decode编码,length判断长度,user用户,然后发包,执行语句

0x03 通杀挖掘
当时也是直接就上交了EDUSRC,回头一想,貌似自己错失了个通杀,故而有了这篇文章!
根据指纹找了很多个站点,都是需要登录,也没有上文的排序点,都准备放弃了,突然想到大哥说的 limit 注入,本就抱着试一试的心态,想不到有意外惊喜!

edusrc通杀漏洞笔记(注入篇)

设置即可,找对对应的数据包,直接开注,如图

edusrc通杀漏洞笔记(注入篇)

构造语句1/(vsize(user)-4)

vsize一看就知道是返回user长度,执行语句,果然报错,本文可能解释的不太详细,具体大家可以参考oracle操作手册
挖洞到这其实也够了,已经有很多相同的limit注入,但大哥说,一个站只交一个点实属浪费,不得已只能继续测
这里从其他站找到了个注册点

edusrc通杀漏洞笔记(注入篇)

直接注册,找到了个未授权且有注入的点

edusrc通杀漏洞笔记(注入篇)

同样的排序和limit,没啥好说的,跟上文注入语句类似,user长度为4

edusrc通杀漏洞笔记(注入篇)

证明漏洞存在即可, 挖洞主要也是靠细心,我不容易注意到limit,所以才写的这篇文章!!!!!

附上几张截图吧,好歹也是一个小通杀!混点rank换点证书玩玩

edusrc通杀漏洞笔记(注入篇)


edusrc通杀漏洞笔记(注入篇)

0x04 再次声明
以下涉及到的漏洞已提交至edusrc教育行业漏洞报告平台并已修复,由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉,谢谢!

原文始发于微信公众号(Poker安全):edusrc通杀漏洞笔记(注入篇)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日10:40:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   edusrc通杀漏洞笔记(注入篇)https://cn-sec.com/archives/1316778.html

发表评论

匿名网友 填写信息