0x00前言

本篇文章作者YanXia,本文属i春秋原创奖励计划https://bbs.ichunqiu.com/thread-63286-1-1.html,未经许可禁止转载。

注意:本次渗透为授权项目,所涉及漏洞均已修复。请不要进行未授权等违规操作!本文章仅供安全人员学习攻防技术,请勿用于任何非法行为!!!

0x01正文

先在

61947-zychvpbqlod.png

这里发现了一个POST参数sort,如果英语还不错的童鞋看到的时候应该能联想到sort的中文有排序的意思,也就是说这里可能是个order by排序注入。

接下来测试一下

lszd,1/1

71022-axvbmcb834u.png

lszd,1/0

39787-hf3b5v5of.png

可以发现这里1/1和1/0的页面返回是不一样的,所以可能存在sql注入。

接下来用lszd,1/(length(user)-1)判断。可以知道user长度为5
37661-dfn6mpj467l.png

原来我就想这么交了,因为毕竟这个站如果要继续渗透下去的话,创宇盾有点难饶
73345-ry6szsu5m4f.png

BUT,审核大大说这样子还不够,让我继续验证下去。

okey,那我只能想办法继续测试了。

这个时候我就想看看能不能用时间盲注来验证波漏洞了。

在经历了一波嘎嘎测试之后(过程就不叙述了)

= decode and or

等等都被ban了。

最后我利用case when then else end条件语句来代替decode() ,也就是起到个类似if的作用

并且找到了Oracle有一个函数dbms_pipe.receive_message可以用来进行延时。

最后语句为

lszd,1/(case when 1>2 then 1 else dbms_pipe.receive_message('RDS',15) end)

57715-ihmsy0qdxf.png
32066-6gxpartdff6.png

最后轻松拿下一个高危漏洞

16946-7qphy8ikeji.png

0x03 结尾

本文到此结束~~~

再次提醒一下

请不要进行未授权等违规操作!本文章仅供安全人员学习攻防技术,请勿用于任何非法行为!!!

已有 3 条评论

  1. [..]创宇盾:case when then else end条件语句来代替decode()类似if[..]

  2. 你写得非常清晰明了,让我很容易理解你的观点。

    1. @芋泥苑

      你这可以,说话跟老外似的

发表评论