用户
搜索

该用户从未签到

i春秋-脚本小子

Rank: 2

2

主题

14

帖子

75

魔法币
收听
0
粉丝
1
注册时间
2018-2-17
发表于 2019-10-5 15:03:19 113968

第一次写文章,大佬看在我年龄小的份上,轻喷

0x01:早上起来打开窗,阳光美美哒。正准备打一整天CSGO的时候,发现XXXsrc的官方群里有师傅说 上新证书了,
换了一个证书后,我发现自己已经6天没提交洞了,,,这让身为手艺人的我,非常不高兴 .必须得个ta上一课,彳亍,话不多说,操起键盘就是干直接谷歌hack语法一波,然后开始物色猎物,good.就你了 int型 确信!
0x02:很好,现在先手艺一波嗯,很强,不亏是能被我看中的 猎物
获知大致思路:当GET请求触发站点的WAF规则时,会显示404(别问为啥不继续手艺下去了,因为的俺精力有限,待会还要和御姐音的姐姐打csgo)
0x03:既然裸露型的GET手艺没有用效果,那么就试试隐藏起来的POST手艺

真的就一点机会不给呗,。。
获知大致思路2:POST传递写死 确信!
0x04:现在试试 Cookie注入
先F12 选择 网络(network) 然后找到COOKIE复制
然后打开hackbar 勾选cookie 在里面填入复制的COOKIE并在cookie末尾加上;id=106(参数=参数的内容)
然后CTRL+Enter  成功!!把参数写入cookie中,并被服务器在后端处理


现在开始尝试注入
;id=106 %0A and %0A1 %0A = %0A 1 %0A (为了大家方便学习,我把在中间打了空格,大家忽略即可)

偶或!,数据库出错,,不过问题不大 这难不到多年手艺的我  尝试把 =替换成 LIKE 完美,;id=106 %0A and %0A 1 %0A LIKE %0A 1 %0A
(这里大家可以看出waf对cookie并没有进行像对post请求和GET请求那样严格的过滤,可以看到我将=替换成like就彻底绕过了waf,并且特殊字符也没有触发规则,而在get请求中,特殊字符是会被拦截的)

现在试试 and 1 LIKE 2  完美
现在构造sqlmap语句丢到sqlmap 跑就完事

sqlmap.py -u "http://www.XXX.edu.cn/XX.asp" --cookie="id=106*" --delay 2 --time-sec 2 --skip-waf --random-agent --tamper=equaltolike,percentage
完美,
现在开始跑admin表  -T admin --columns

完美

OK,fuzz测试完后,就来聊聊漏洞的原理吧

漏洞原理:
比如你遇到一个带参数的网站
比如http://www.test.coom/a.asp?id=1
并且服务器将会把参数id的内容带入后端执行或处理
那么你可以猜想服务器是如何取参的?
比如运维觉得取参麻烦就干脆把取参的函数写成:
$id = $_REQUEST['id']
而不是$_GET或$_POST这样固定从get或post请求中获取参数的函数
那么这时你就可能有可乘之机
比如你尝试将参数写进post请求里或cookie里并发送给服务器
看看服务器会不会从中取参并丢进后端处理
如果服务器确实可以从post或cookie中取参
这时你又可以猜想waf是不是只对get或post进行过滤
那么cookie就出现了纰漏,也就是说,你无论在cookie中写什么东西,都不会经过waf,只会直接进入后端执行,,

修复方案:用$_GET或$_POST方式可以彻底阻断Cookie注入(猜测,,大佬轻喷,毕竟弟弟还小,PHP初学)

在这里我很想对@MG1937 大佬说一声 NB

如果大家还想看类似的文章 请关注微信公众号:重生信息安全

最后PS一句: fuzz完之后小弟发现 这个大学的所有ASP站点用的都是同一个WAF,,,,,,

1.jpg
2.jpg
3.jpg
第一次发帖,格式没把握好,哈哈,辛苦各位看帖啦
使用道具 举报 回复
不懂,不懂,05大佬太强了
使用道具 举报 回复
发表于 2019-10-7 10:10:47
楼主的感谢分享
使用道具 举报 回复
发表于 2019-10-7 13:00:00
支持05大牛
使用道具 举报 回复
发表于 2019-10-7 22:25:47
支持大牛呀
路漫漫,
使用道具 举报 回复

支持t神师傅
使用道具 举报 回复
赞一个
使用道具 举报 回复
发表于 2019-10-8 09:02:01
本帖最后由 Sir 7 于 2019-10-8 09:18 编辑

跑出字段以后,楼主发现密码的md5加密解不开,一番折腾以后,终于解开了密码,可是后台地址找不到,尝试各种方法,google,baidu,爆目录等等都没用,最后还是拿不了shell,还是不能进一步证明危害有多重,故忽略该漏洞!
有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
使用道具 举报 回复
Sir 7 发表于 2019-10-8 09:02
跑出字段以后,楼主发现密码的md5加密解不开,一番折腾以后,终于解开了密码,可是后台地址找不到,尝试各 ...

后台的确找不到,,,,但密码解出来了,,不过SRC平台还是给了7分 高危 2333
使用道具 举报 回复
发表于 2019-10-8 12:10:24
学习了
使用道具 举报 回复
好思路,学习,谢谢分享:)
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册