本文由掌控安全学院 - 满心欢喜 投稿
“忘记密码”处重置教务系统密码-成功登录
首先,也是从网上收集到了一个该学院的学生信息文件,其中有登录系统最重要的xh、sfz等敏感信息
然后我是尝试了 xh/sfz后六位的密码组成来登录系统,无果
将目光放在忘记密码处
发现密保问题为sfzh,刚好我们有
成功重置密码,登录系统
另类的SQL注入
有个前提条件,需要有课表数据才行
点击查询并拦截数据包,注入点就在skyx参数
在测试过程中我发现
单引号会404
双引号数据返回正常
非常符合oracle的注入要求
Payload:
‘||case when substr(user,1,1)=’a’ then 1 else exp(710) end||’
通过CASE语句结合字符串拼接和可能的数值溢出(exp(710)),动态地修改SQL查询的行为
简单解释这段payload就是查询该数据库的user也就是当前用户,第一个字符是不是为a是就正确,不是就执行exp(710)也就是数据溢出报错
接下来我们需要爆破这两个位置
通过爆破来猜解出当前用户
攻击类型为集束炸弹
Payload1很简单就是数值
Payload2为你认为所有可能为user的字符的字符
成功
最后验证一下
用爆破出来的user数据返回正常
将user改了,404
Ok那么我们的user就成功猜解出来了
其它的比如说数据库名,版本等同理
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | edusrc中另类的sql注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论