記錄正方教育系統一次檢測過程
參考文章地址:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0122523.html
本次檢測的目標中存在其中提到的一處注入BMCheckPassword,參考文章中講的不夠清楚,這裏具體分析
sKey是內置的常量,這個文章中已經提到,注入點出在strYHM中,爲字符型oracle布爾注入,當結果爲真時返回5,結果爲假時返回3
在該處可以注入,但sqlmap卻非常給力的沒發現注入
根據文章中提到的,jwc01爲內置管理員賬戶,擁有很高的權限,且爲默認用戶,不需要再去找其他用戶名
可以使用該payload來遍歷jwc01加密後的密碼
jwc01' and (SELECT SUBSTR(TO_CHAR(KL),1,1) from yhb where yhm='jwc01')='a
正方系統加密後的密碼通常爲8位,且字符範圍爲0-9,a-z,A-Z, !@#$%^&*(){}[]_ (待考證)
使用burp模擬發包
後續只需要不斷變化該值即可查處每位的字符
用來遍歷時方便查找對應數值
對應值爲5的說明爲正確字符
後續重複上面的動作,即可獲得加密密碼
最後將密碼解密即可
檢測的站點比較尷尬,登錄後的功能模塊都被閹割了,先到這裏,後續再更新