看我如何挖掘并成功利用印度Popular Sports公司网站主机头的SQL注入漏洞

本日我要为大年夜家分享一个我在做bugbounty项目时,发明的一个异常故意思的破绽,这个破绽呈现在印度的一家盛行体育公司网站。本文是关于“我若何使用主机头找出SQL注入破绽,以及应用sqlmap tamper脚本绕过规则并dump目标数据库”的完备历程。下面进入我们的正题。

当我考试测验应用burp intruder模块反省利用是否存在可爆破OTP破绽时,我发明我的IP被立马阻拦了,并且从返回的差错信息我基础可以断定该利用应用的的是AWS。此外,我还发明在HTTP相应中设置了“X-Amz-Cf-Id”头(CloudFront在将哀求转发到原始哀求之前将CloudFront添加到查看器哀求中),这也加倍肯定了我的判断。

现在,我们开始来测试可能存在破绽的地方。测试事情可是个细活,任何一个地方我们都不能随意马虎的放过,我们从主机头开始。我改动了主机头的值但并没有任何感化。由于该利用运行在AWS上,以是他们必定应用了弹性负载均衡(ELB),是以我抉择添加X-Forwarded-Host来考试测验对主机头的进击。如下所示 –

我将它的值设置为www.google.com,并302重定向到google.com,然则当我将该值设置为www.evil.com时,我获得了以下相应结果 –

可以看到状态显示为403 Forbidden。很显然,该利用法度榜样后端办事器肯定是设置了一些有关主机值的白名单(由于它容许google.com但回绝evil.com)。现在有两种可能性,一是脚本是根据容许值的数组/列表进行反省的。二是它们将值存储在了数据库中,这样就会稀有据库的查找历程。以是,我考试测验了一些针对X-Forwarded-Host值的sql查询,如下 –

可以看到我设定延迟注入语句10秒履行,而HTTP相应光阴为9.4秒,这足以证实X-Forwarded-Host头中存在SQL注入破绽。接下来的义务,便是提取目标数据库中的数据。到这里我平日会应用sqlmap来帮助我的事情,但不幸的是sqlmap连接被回绝。我考试测验添加–delay和–timeout参数来限定HTTP哀求以及增添超韶光阴,但仍旧连接被回绝,我预测这可能与字符黑名单有关。

为了验证我的预测,我在X-Forwarded-Host头中输入了一个XSS测试语句“alert(1)”,果不其然相应结果为HTTP STATUS 400 — BAD REQUEST ERROR

很显着,脚本标签,字符也在黑名单列表中。SQLMAP中供给了一个between.py的tamper脚本,我将()调换为了“NOT BETWEEN”,并在sqlmap查询中包孕了它。运行了一段光阴后,我成功获取到了目标数据库中的数据,此中包括用户凭证,email-id等信息。

以上便是我和大年夜家分享的内容,盼望大年夜家能进修到一些有用的器械。同时也迎接你们将好的履历和思路分享出来,让更多的人从中受益!感谢!

申报光阴线

2018.5.3 – 申报厂商。

2018.5.3 – Bug被标记为已修复。

2018.5.3 – 从新测试并确认修复。

2018.5.5 – 奖励。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包