实战:从前端加解密到sql注入过waf
2024-4-16 11:2:17 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

信息收集阶段


开启日常渗透工作,第一步,打开爱企查、天眼查、对准测试资产开始狂飙!找到一个授权范围内的资产,按理说应该收集一波域名、跑一下子域名的,再fofa、hunter搞起的。那天心血来潮直接访问了一下主站,没想到burp一上来就开始飙绿\~~~~

我的burp安装了HaE插件,自定义了一些容易出洞的关键字。发现这个主站,出现了很多排序的关键字,而且还没做映射(挺随意的)。(排序注入是sql注入中,高频出洞模块,目前mybatis对排序的方案中,只能使用${}传入排序字段,所以必定有注入。除非接口做了映射,例如:用户只能传 枚举类型参数 ,后台代码程序把这个 枚举类型参数 使用case when转化为排序关键字拼接到mybatis的xml文件中,不在 枚举中的参数,直接拼装default参数)


发现验签


查看排序注入是否存在,直接重放接口,返回正常

排序字段加 ,0 ,1 看看是否有报错

验签了,碰到验签,按经验来说,盲猜是sign这个头。Fuzz一下,Sign去掉后报错,不能为空!
Sign:
Sign: 1
Sign: 2
Sign: test

这些都有可能绕过验签,因为开发前期测试的时候肯定不会改一下参数,还自己去计算一下sign值的。如果请求头有 encryptType:1 这种参数也可以试着修改,一般这个参数控制着后台加密类型。具体这个绕过参数是啥?要么就去fuzz,要么就去看一下js源码,可能会有。我这个案例没这么幸运,没绕过,只能开启 F12 硬刚。


开启 F12 ,vue的前端


全局搜索关键字 Sign,找到一处可疑点

打上断点,成功命中!(如果没有命中的话,可以在network中搜索请求的url关键字,看一下调用栈,找一下sign生成点函数)

分析代码,它其实只用到了 2 个参数,post请求体(或者url传的参数)+时间戳。进行了一下字符串组装,然后md5加密转大写。


原理知道了,接下来就是 “一点点的工作”。

  • 方案一
    我的目的是:burp-repeater 模块重放数据包,因为我要修改里面的参数,所以每次修改完之后,必须要重新计算sign值。接下来就是构思下数据流程:python启动一个flask,相当于一个web服务,作用是拆解出 我所需要的 timestamp 和 post请求体(或者url的传参);并且会把参数发给node服务,node服务返回计算结果,python程序替换sign值。Node启动一个web服务,计算这个sign值。

使用 burp-autodecoder插件,把repeater里面的数据包发给我的 python程序,python程序提取一下我所需要的 timestamp 和 post请求体(或者url的传参),然后把数据发给webstorm程序(这个程序就是node启动一个web服务)

Autodecoder:

Python启动:

Node启动:

测试一下,老铁给力不

验签搞定了,而且存在注入(ps:oder排序注入,查询结果必须要有数据,空表查询的话,payload不会被触发)。使用布尔注入

  • 方案二

    直接使用 jsrpc,在内存中直接调用这个加密函数,因为这个插件技术是后期才接触到的,所以用了方案一(有丢丢复杂)。方案二适合网页版,可打断点的场景。方案一适合知道加密原理但是不好打断点的场景,例如分包小程序。

    sql注入阶段


看看if能不能用

看看 iif 能不能用

看看case when能不能用

还发现有个waf

都不能用,使用大招 rlike 报错

可行可行,构建条件语句

又是waf,试试注释符号绕过

完美!!!!!

好了!Payload搞定了,接下来就是注出用户名就行了!!!!!

因为怕触发waf直接使用常量 like

注入出数据库用户名:jr_% 收工收工。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

原文于:https://forum.butian.net/share/2618原文作者:开车开车

文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247494292&idx=1&sn=d9c3fce9461ed87f31d7143ad0e1d8f6&chksm=e8a5e0f7dfd269e13c43b431bfea6066134d2e01e208b7a747350479577b7d8a00c7f06e68e3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh