由于某些原因,对某大学的研究生信息管理网站产生了兴趣,目前能访问
的就是该网站的登陆页面,在google上搜了一下,也没找到此网站上的更多有用的页面,
该服务器是linux的,上面没有其它网站,我没有用扫描器扫描它,因为我不指望能用远程
溢出进入这个服务器,这年头,如果你能通过远程溢出进入一个服务器,那么至少有上百人
早就赶在你前面了。
既然不可能从服务器层面上入手,那就再看看web吧,图1显示学生用户的登录用户名
是学号,就国内现有的网络安全现状而言,据我保守估计,此网站上至少应该有超过20%的
人使用学号或者弱口令作为密码,但是我不知道他们学校的研究生学号命名规则,尽管我认
识这个学校的一个研究生,但是我不喜欢求人,还是先在网上搜搜吧。关键词“**大学 研
究生 学号” ,翻了几页,果然找到了一个网上公布的该大学的研究生学号列表。
还等什么?赶紧试试吧,很快就找到一个人使用学号作为密码的,这样,我总算能看见
网站里面的东西了。该网站是jsp脚本编写的,那么它的数据库最有可能是oracle的,事
后证明我猜对了。
看了一下学生能够使用的功能,发现一个发站内邮件的功能,还可以上传附件。
然后我就自己给自己发了个站内邮件,附件上传了一张图,如图4是选择收件人界面,
可以通过多种条件查询收件人,这个功能很重要,后面还会用到。
将鼠标停在邮件附件的下载链接上,IE左下角显示出地址,是个动态地址,我
无法得到它的真实路径,也就是说,即使我能上传jspshell,也找不到它。
没办法,再看看有没有其它注入点吧,一些通知的链接、个人信息的链接全看了,不存
在注入。于是我又到处找有没有搜索的功能,说不定还有搜索型注入呢。请注意图4那里有
查找站内邮件收件人的功能,我在收件人搜索条件的年级那里输入“1'”,图6,出错了,
连SQL语句都爆出来了,看来没过滤“'” 。
然后我又搜索“1%' and 2>1 and '%'='”和“1%' and 2=1 and '%'='” ,前者搜索结
果和搜索“1”无异,后者没有搜索结果,看来存在搜索型注入。
既然图6连SQL语句都报出来了,那么想要联合查询注入就应该很容易,可是我却发现
无法使用“--”和“/*”来注释后面的语句,不知道是何原因,这样就没办法联合查询了,
假如不用联合查询,逐位猜解我可受不了,最后试了很久,还是放弃了。
不过我很快就发现还可以搜索信息公告。
这里的数据包不是get方式提交的,我就抓包来看,将post方式提交的数据放在IE
地址栏,假如能够用get 方式提交的话,注入起来就方便一点。
图10
虽然提交的参数很长,但是有些不是必要的,可以删掉,最后我将其简化成了:
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27
“2010”是我搜索的关键词, “%25”是%的编码, “%27”是“'”的编码,提交该URL,
如图11,没有问题,还发现上面的错误信息暴露了脚本的绝对路径,如下:
[ServletException in:/application/yanyuan/message/messagelistingextend.jsp]
null'
随后提交:
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27 order by 10
再提交:
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27 order by 11
结果如图13。对比如图12、13,可知被注入的select语句查询了10个字段,因为按
照第10个字段排序结果正常,按照第11个字段排序没结果。
于是提交如下URL,其中包含10个NULL,dual是个低权限就能访问的表,返回结果没
有报错,说明这个联合查询注入语句没问题。这里要说明一点,有的时候使用联合查询注入,
“union select”会出错,导致进行不下去,使用“union all select”就好了,尽管二者
2141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
