记录正方教育系统一次检测过程
参考文章地址:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0122523.html
本次检测的目标中存在其中提到的一处注入BMCheckPassword,参考文章中讲的不够清楚,这里具体分析
sKey是内置的常量,这个文章中已经提到,注入点出在strYHM中,为字符型oracle布尔注入,当结果为真时返回5,结果为假时返回3
在该处可以注入,但sqlmap却非常给力的没发现注入
根据文章中提到的,jwc01为内置管理员账户,拥有很高的权限,且为默认用户,不需要再去找其他用户名
可以使用该payload来遍历jwc01加密后的密码
jwc01' and (SELECT SUBSTR(TO_CHAR(KL),1,1) from yhb where yhm='jwc01')='a
正方系统加密后的密码通常为8位,且字符范围为0-9,a-z,A-Z, !@#$%^&*(){}[]_ (待考证)
使用burp模拟发包
后续只需要不断变化该值即可查处每位的字符
用来遍历时方便查找对应数值
对应值为5的说明为正确字符
后续重复上面的动作,即可获得加密密码
最后将密码解密即可
检测的站点比较尴尬,登录后的功能模块都被阉割了,先到这里,后续再更新