一次盲sqli之旅

luozhenni

一次盲sqli之旅 Aayush Vishnoi

原文链接：一次盲sqli之旅
一次盲sqli之旅 Aayush Vishnoi            迪哥讲事  2023-05-31 08:00 发表于江苏  

一次盲sqli之旅声明：
文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

前言

本次漏洞之旅并没有进行额外的信息搜集，但采用了一种不同的方法，虽然非常基本，但绝对值得一试。正文目标子域名为redacted.com使用wayback machine找出与该目标域名相关的所有url。
这里使用waybackurls工具查找url。
$ echo redacted.com | waybackurls | anew urls.txt
在信息搜集的时候，收集的是带有id参数、重定向参数、url参数的URLs
然后使用如下的字典来进行fuzz:

1. https://github.com/PortSwigger/param-miner/blob/master/resources/params

复制代码

注意:此命令可以过滤出的url并不只是针对sqli的!!!(xss等漏洞也是可以的)
$ cat urls.txt | grep "id=" | anew temp-sqli.txt
找到一个url:https://www.redacted.com/?attachment_id=123

分析参数

在URL末尾添加单引号(')和双引号(")，但没有发现任何SQL错误或DB错误
https://www.redacted.com/?attachment_id=123'
https://www.redacted.com/?attachment_id=123"
从wappalyzer中，发现web应用程序正在使用MySQL数据库。
于是尝试一下SQLi，所以收集了一些SQLi有效负载，并在上面的URL上进行了测试。
使用BP来发送请求，在执行基于时间的SQLi有效载荷时检查时间差，下面的请求没有SQLi有效载荷，生成响应所需的时间较短。

​
找到了一个有效载荷" AND 4564=(SELECT 4564 FROM PG_SLEEP(11)) OR "04586"="4586--，这里起作用，成功地在网络应用程序上睡眠了11秒，表明成功执行了基于时间的盲SQL注入攻击。
带有有效载荷的完整URL看起来像这样
$ curl https://www.redacted.com/?attachment_id=123" AND 4564=(SELECT 4564 FROM PG_SLEEP(11)) OR "04586"="4586--
​
从上面的截图中可以清楚地看到，使用SQLi有效负载完成请求所花费的时间增加了，这证实了漏洞的存在