diff --git "a/\345\256\236\346\210\230\347\257\207 CIDP.md" "b/\345\256\236\346\210\230\347\257\207 CIDP.md" deleted file mode 100644 index 022d98962acde46c7abab8578878790c5f9a4950..0000000000000000000000000000000000000000 --- "a/\345\256\236\346\210\230\347\257\207 CIDP.md" +++ /dev/null @@ -1,77 +0,0 @@ -# 米斯特白帽培训讲义 实战篇 CIDP - -> 讲师:[gh0stkey](https://www.zhihu.com/people/gh0stkey/answers) - -> 整理:[飞龙](https://github.com/) - -> 协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/) - -目标是`http://yjs.cidp.edu.cn/`。 - -我们扫描一下,找到了这个系统:`http://211.71.233.67/`。 - -![](http://ww4.sinaimg.cn/large/841aea59jw1fb4as0u6noj20vs0hpq4j.jpg) - -这个站点使用手动测试和扫描器扫描都没有发现什么漏洞。于是我们注意到了有个“Android 教务查询系统”,果断把它下载下来安装。 - -我们在电脑上打开 Burp,使用 Burp 抓手机的包。我们需要保证电脑和手机连一台路由器。然后,电脑上使用`ipconfig`查看内网的 IP: - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4as3rii1j20iu0c93zc.jpg) - -IP 为`192.168.1.100`。 - -然后在手机上设置代理,填写之前的 IP 地址,点击保存。 - -![](http://ww2.sinaimg.cn/large/841aea59jw1fb4as9jm6jj20e80e0t94.jpg) - -打开 APP,主界面是这样。 - -![](http://ww4.sinaimg.cn/large/841aea59jw1fb4asc7codj20e50nh0tz.jpg) - -我们点击“公共查询”,然后找个东西随便测试一下。比如说,我们在里面的班级查询功能里面查询`123456`。 - -![](http://ww4.sinaimg.cn/large/841aea59jw1fb4asfb1cgj20ea0npab1.jpg) - -然后 Burp 中会发现封包,我们把它发送到 Repeater。 - -![](http://ww2.sinaimg.cn/large/841aea59jw1fb4ashqtq0j20rs0maacm.jpg) - -因为我们是随便填写的,它都能返回`true`,我们猜测这里面可能有个 SQL 注入。只不过以前的 HTTP 正文是 urlencode 格式的,现在变成了 XML 格式。 - -我们改为`123456 and 1=1`,它返回`true`: - -![](http://ww2.sinaimg.cn/large/841aea59jw1fb4askwa1ij20qx07pgmy.jpg) - -然后改为`123456 and 1=2`,也返回`true`: - -![](http://ww4.sinaimg.cn/large/841aea59jw1fb4asnh1irj20qz07qwft.jpg) - -然后我们在前面加个单引号,发现它返回了`false`: - -![](http://ww4.sinaimg.cn/large/841aea59jw1fb4asq7eh2j20qy0820u3.jpg) - -那就说明可能存在注入。之后我们将请求封包复制下来,保存为`xxx.txt`,放到 SQLMap 相同目录下。 - -之后在命令行中执行: - -``` -sqlmap.py -r xxx.txt -``` - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4astyyfpj20iv0c6ta9.jpg) - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4aszmy06j20ir0cctam.jpg) - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4aswporpj20ir0c6tas.jpg) - -是存在注入的。 - -然后使用`--dbs`列出所有数据库: - -![](http://ww2.sinaimg.cn/large/841aea59jw1fb4at3ycqxj20is0by75h.jpg) - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4at9f05pj20iv0c6taw.jpg) - -![](http://ww1.sinaimg.cn/large/841aea59jw1fb4atbx3ruj20ir0c674t.jpg) - -这样就挖到了这个站点的漏洞。