/禁止转载 作者QQ3496925334/
●漏洞已提交,厂商已修复漏洞
■重要细节全部打码
■隐私细节全部打码
■部分细节对外开放
●自评Rank:15
学校要求我们做某平台的选修作业
果然还是登入的形式,默认密码111111
进入平台的时候发现网站不是学校自己做的
抱着试试看的心态找找注入点
●初步尝试
试着在登入栏里面注入永真条件,让用户名的布尔值为true
输入默认密码111111
神奇的事情发生了,数据库递归查询并显示了数据库内所有用户的数据!
●初步判断:userid参数可能存在注入点
下一步就是判断password参数了
在密码栏里注入永真条件,用户名写自己的账号
不能登入,我换了几种永真注入条件,加了括号的,加了单引号的一一试了,都没用
●第二步:password参数可能没有注入点
第三步当然是burpsuite抓包了,抓到包之后放进sqlmap里跑,奇怪,居然没跑出注入点来?
?难道判断错误了?
接着我回到那个网页,向userid注入不同的sql语句
参数’ and 1=1在userid里注入之前可以利用的永真条件,好让password判断为true
登入失败
账号’ and 1=1
密码输入正确的密码,试着通过sql注入正常登入上去,也不行
期间也考虑过闭合问题和dbms为MySQL的原因,分别加了单引号和括号好让语句闭合,结果都不行,更奇怪的是之前的可利用永真条件是加了单引号可以正常闭合的
我怀疑这不是sql注入,
试着改动之前的永真条件,替换判断的参数,结果都可以正常让服务器递归出所有用户
??怎么回事?这样的确是sql注入点呀?
●第三步判断:userid可能不是注入点,或许是后端判断的问题?
正当我一无所获准备关闭电脑,突然想起来这网站不是其他公司帮忙建的吗?他们公司会不会也有这种漏洞?
我进入他们公司的登入页面,注入永真,输入默认密码。。。
成功把在他们公司注册过的所有学校的个人信息全部递归出来了!!!!!
大概有40多所学校(可能不止!)
每个学校至少有几千人的数据!!!
我试着抓了一下包,发现了一个更为重要的信息!当我登入他们的账户的时候,在post记录里找到了注册用户的手机号,而且是明文!明文!明文!!!!!
●虽然没有成功利用上这个漏洞,考虑过JavaScript的因素尝试过xss,也没用成功,但最后抓了全国几十万用户的数据想想也是挺激动