利用注册页面进行注册,注册时需要填入统一社会信用代码和公司名称,这里面我直接使用工具生成了一个公司名称是我乱编的。
成功注册登录之后,发现功能点也很少,但是好在站点比较老旧,感觉很容易出洞。在点击 “招聘会企业报名” 中发现可以发布招聘信息,尝试在招聘信息中插入XSS语句。
成功添加后重新点击“招聘会信息”成功触发XSS,可获取用户cookie。
因为是企业发布招聘信息,所以学生是能看到的,这里我更改了一下XSS语句,配置XSS接收平台,可以利用漏洞进行钓鱼攻击。
到这里就已经出洞了,但储存型XSS在EDU SRC里面只能算是一个低危,只有1rank,肯定不能到此为止啊。继续查看功能点,在 “我的招聘会信息” 中发现了一个查询的功能点,企业名称输入任意值,发送数据包利用burp进行抓包。
流量包大概是下面这个样子的(关键信息已删除或者替换),使用了POST传参,其中有一个参数名为 “orderbyName” 而且参数为 “desc”,这很难不让联想到这里会不会存在SQL注入漏洞,于是对参数进行闭合发现成功报错,回显报错信息判断为Oracle数据库。
POST /JiuYe/XXX/XXX/myjiuye.jsp HTTP/1.1
Host: xxx.xxx.edu.cn
Cookie: JSESSIONID=89D3336C7289863A296EDFBA59839AB7-n1.tomcat1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:137.0) Gecko/20100101 Firefox/137.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
Connection: close
orderbyName=desc
确实不太清楚Oracle数据库的SQL语句,直接保存请求包修改一下,只保留orderbyName参数,利用sqlmap工具进行测试。
sqlmap -r sql.txt --batch -p "orderbyName" --dbms=oracle
原文始发于微信公众号(网安日记本):漏洞挖掘—隐藏资产挖掘SQL注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论