快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

挖洞经验 | 看我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

今天我要为人人分享一个我在做bugbounty项目时,发现的一个无比故意思的漏洞,这个漏洞出现在印度的一家流行体育公司网站。本文是关于“我怎么样行使主机头找出SQL注入漏洞,和使用sqlmap tamper脚本绕过规则并dump目标数据库”的完备过程。下面进入我们的正题。

当我尝试使用burp intruder模块检查应用是否存在可爆破OTP漏洞时,我发现我的IP被立马阻止了,并且从返归的错误信息我基本可以断定该应用使用的的是AWS。此外,我还发现在HTTP响应中配置了“X-Amz-Cf-Id”头(CloudFront在将要求转发到原始要求之前将CloudFront添加到查看器要求中),这也愈加肯定了我的判定。

我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

现在,我们最先来测试可能存在漏洞之处。测试工作可是个细活,任何一个地方我们都不能轻易的放过,我们从主机头最先。我修改了主机头的值但并没有任何作用。因为该应用运行在AWS上,企业黑客,所以他们必定使用了弹性负载均衡(ELB),因此我决定添加X-Forwarded-Host来尝试对主机头的攻击。以下所示 -

我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

我将它的值配置为www.google.com,并302重定向到google.com,然则当我将该值配置为www.evil.com时,我得到了下列响应效果 -

可以看到状态显示为403 Forbidden。很显著,该应用程序后端服务器肯定是配置了一些有关主机值的白名单(因为它允许google.com但拒尽evil.com)。现在有两种可能性,一是脚本是根据允许值的数组/列表进行检查的。二是它们将值存储在了数据库中,如许就会稀有据库的查找过程。所以,我尝试了一些针对X-Forwarded-Host值的sql查询,以下 -

我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

可以看到我设定延迟注入语句10秒执行,而HTTP响应时间为9.4秒,这足以证实X-Forwarded-Host头中存在SQL注入漏洞。接下来的义务,就是提取目标数据库中的数据。到这里我通常会使用sqlmap来辅助我的工作,但不幸的是sqlmap连接被拒尽。我尝试添加–delay以及–timeout参数来制约HTTP要乞降增添超时时间,但仍旧连接被拒尽,我猜测这可能与字符黑名单有关。

我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

为了验证我的猜测,我在X-Forwarded-Host头中输入了一个XSS测试语句“<script>alert(1)</script>”,果不其然响应效果为HTTP STATUS 400 — BAD REQUEST ERROR

很显然,脚本标签,<,>字符也在黑名单列表中。SQLMAP中提供了一个between.py的tamper脚本,我将(<,>)替代为了“NOT BETWEEN”,并在sqlmap查询中包含了它。运行了一段时间后,我成功获取到了目标数据库中的数据,其中包括用户凭证,email-id等信息。

我怎么样挖掘并成功行使印度Popular Sports公司网站主机头的SQL注入漏洞

以上就是我以及人人分享的内容,希翼人人能学习到一些有效的器械。同时也欢迎你们将好的经验以及思路分享出来,让更多的人从中受益!感谢!

讲演时间线

2018.5.3 – 讲演厂商。

2018.5.3 – Bug被标记为已修复。

2018.5.3 – 重新测试并确认修复。

2018.5.5 – 奖励。

 *参考来源:medium, secist 编译,

您可能还会对下面的文章感兴趣: