本文由掌控安全学院 -
kpc
投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
一、资产搜集
一般打某个确定的站点,我都会去搜集一波容易出洞的资产,能注册进去的站点自然是我们这种拿不到账号的师傅要重点关注的。这里给大家奉上我常用的鹰图语句:(domain=”XXX.edu.cn”&& web.body=”注册”)&& (web.title=”系统” or web.title=”平台” or web.title=”管理” or web.title=”后台”) 根据这个语法,我搜集到了一个可以注册进入的站点,注册进入后有很多功能可以测试,但是都没有明显漏洞。
二、SQL注入发现
一般挖掘注入,我都是根据bp插件xisaql被动检测+手工注入来完成的。测了一遍所有功能后,插件并没有给出有sql的提示,但这并不代表没有注入。因为是证书站,我又重新手测了一遍,果然发现了疑似注入点。
三、基于整形的SQL盲注
有注入的数据包如下:
imgknowledge参数有注入,为6时是正常包。接下来,我给这个6除exp(709),即6/exp(709),返回包依旧正常:
img但当我除exp(710)时产生了报错,说明后端执行了exp(710),只要执行了我们输入的语句就有可能存在注入:
img接下来利用这两种情况下的返回包状态开始盲注,edu只需要注入出一个数据就行,可以是数据库长度、名称、user长度、名称等均可,这里我选择注入user长度。数据包如下:
img
img发现,增加到726时报错了,725正常,说明user的长度为16,这样才能在725-16时为709,exp(709)正常,exp(726-16)报错。最终也是成功通过审核,获得了该校的证书。
img四、总结
1、这个证书站已经很久了,而且站点可注册,为什么现在挖依旧能挖的到,说明我们测试时可能并没有每个数据包都看的很仔细,尤其是测注入,工具没有检测出来并不代表没有注入,还是要自己去认真测试一遍。
2、SQL盲注只需要构造出两个状态不同的数据包响应即可,再基于两种响应不同的数据包展开注入。
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 记一次证书站SQL注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论