0x00 序言
摸鱼太久,是时候诈尸更新一波技术文了!最近沉迷工作(其实是犯懒),一直拖更,今天必须来点干货。
别再说大厂App坚如磐石了!告诉你个秘密,这次我可是从某知名厂商的Android应用里,硬生生抠出一个SQL注入漏洞,还被评为“严重”级别!惊不惊喜?意不意外?
0x01 漏洞挖掘现场
开车前先复习!墙裂建议各位老铁回顾一下我之前写的《想搞SQL注入?盯紧这种接口,一抓一个准!》。这次能成功,多亏了里面的骚操作。
故事是这样婶儿的:在对某Android APP进行代码审计时,我秉承着“宁可错杀一千,绝不放过一个”的精神,全局搜索排序字段,比如order_by、sort_by、sort等等。功夫不负有心人,终于让我逮到一个查询接口,它居然带了个sortBy参数!
接下来就是喜闻乐见的注入尝试环节。先来个单引号试试水,Duang!服务器直接报错。
这情况有点复杂,可能是服务端做了过滤,也可能注入是成功了,但执行出了幺蛾子。不过没关系,至少说明这地方有搞头!就算有SQL注入,估计也是个盲注。
为了验证猜想,我决定祭出rand()
函数,看看返回的数据会不会跳舞(顺序变化)。
把查询条件改成orderBy=rand()
,奇迹发生了!数据正常返回,而且每次查询顺序都不一样!这感觉就像中了彩票一样,注入点稳了,而且是盲注无疑!
0x02 SQL盲注大作战
既然rand()
函数能搞事情,那就可以用rand(1=1)
和rand(1=2)
来控制接口返回不同的数据顺序,然后就可以愉快地玩耍布尔盲注了。
看到没?当条件为true和false时,第一条数据的id明显不一样!
接下来,亮出我的布尔盲注秘密武器,爆破数据库名称:
rand(ascii(substr(database(),1,1))>65)
这段代码贼简单,就是用database()
函数获取数据库名称,然后截取第一个字符,判断它的ASCII码是不是大于65(大写字母A)。如果大于65,说明第一个字符不是A,表达式返回true,否则返回false。我们就可以通过接口返回的列表顺序,来判断表达式的结果,简直完美!
0x03 躲猫猫:绕过WAF的艺术
正当我准备一鼓作气拿下数据库的时候,WAF跳出来捣乱了,直接拦截了这个参数。不过还好,这WAF也不是啥硬茬,规则不算太严。经过一番斗智斗勇,我发现它会过滤逗号,那就用空格代替!最终的盲注库名payload如下:
rand(ascii(substr(database() from 1 for 1))>114)
url编码后:
rand%28ascii%28substr%28database%28%29%20from%201%20for%201%29%29%3E114%29
有了这个宝贝,就可以写个Python脚本,让它自动跑起来,爆破数据库名称,解放双手,岂不美哉?(此处省略一万字代码)
0x04 总结陈词
其实后面的盲注和绕WAF就没啥难度了,主要是找注入点,一定要记住,任何一个可疑的接口都不要放过! 这次我能成功,也是因为我够耐心,当时搜到一大堆带可疑参数的接口,但只有一个存在漏洞。如果我浅尝辄止,早就放弃了。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************