Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
OpenDocCN
mst-sec-lecture-notes
提交
b69ce611
M
mst-sec-lecture-notes
项目概览
OpenDocCN
/
mst-sec-lecture-notes
通知
0
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
M
mst-sec-lecture-notes
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
b69ce611
编写于
12月 26, 2016
作者:
W
wizardforcel
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
cidp
上级
1f50e769
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
77 addition
and
0 deletion
+77
-0
实战篇 CIDP.md
实战篇 CIDP.md
+77
-0
未找到文件。
实战篇 CIDP.md
0 → 100644
浏览文件 @
b69ce611
# 米斯特白帽培训讲义 实战篇 CIDP
> 讲师:[gh0stkey](https://www.zhihu.com/people/gh0stkey/answers)
> 整理:[飞龙](https://github.com/)
> 协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
目标是
`http://yjs.cidp.edu.cn/`
。
我们扫描一下,找到了这个系统:
`http://211.71.233.67/`
。
![](
http://ww4.sinaimg.cn/large/841aea59jw1fb4as0u6noj20vs0hpq4j.jpg
)
这个站点使用手动测试和扫描器扫描都没有发现什么漏洞。于是我们注意到了有个“Android 教务查询系统”,果断把它下载下来安装。
我们在电脑上打开 Burp,使用 Burp 抓手机的包。我们需要保证电脑和手机连一台路由器。然后,电脑上使用
`ipconfig`
查看内网的 IP:
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4as3rii1j20iu0c93zc.jpg
)
IP 为
`192.168.1.100`
。
然后在手机上设置代理,填写之前的 IP 地址,点击保存。
![](
http://ww2.sinaimg.cn/large/841aea59jw1fb4as9jm6jj20e80e0t94.jpg
)
打开 APP,主界面是这样。
![](
http://ww4.sinaimg.cn/large/841aea59jw1fb4asc7codj20e50nh0tz.jpg
)
我们点击“公共查询”,然后找个东西随便测试一下。比如说,我们在里面的班级查询功能里面查询
`123456`
。
![](
http://ww4.sinaimg.cn/large/841aea59jw1fb4asfb1cgj20ea0npab1.jpg
)
然后 Burp 中会发现封包,我们把它发送到 Repeater。
![](
http://ww2.sinaimg.cn/large/841aea59jw1fb4ashqtq0j20rs0maacm.jpg
)
因为我们是随便填写的,它都能返回
`true`
,我们猜测这里面可能有个 SQL 注入。只不过以前的 HTTP 正文是 urlencode 格式的,现在变成了 XML 格式。
我们改为
`123456 and 1=1`
,它返回
`true`
:
![](
http://ww2.sinaimg.cn/large/841aea59jw1fb4askwa1ij20qx07pgmy.jpg
)
然后改为
`123456 and 1=2`
,也返回
`true`
:
![](
http://ww4.sinaimg.cn/large/841aea59jw1fb4asnh1irj20qz07qwft.jpg
)
然后我们在前面加个单引号,发现它返回了
`false`
:
![](
http://ww4.sinaimg.cn/large/841aea59jw1fb4asq7eh2j20qy0820u3.jpg
)
那就说明可能存在注入。之后我们将请求封包复制下来,保存为
`xxx.txt`
,放到 SQLMap 相同目录下。
之后在命令行中执行:
```
sqlmap.py -r xxx.txt
```
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4astyyfpj20iv0c6ta9.jpg
)
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4aszmy06j20ir0cctam.jpg
)
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4aswporpj20ir0c6tas.jpg
)
是存在注入的。
然后使用
`--dbs`
列出所有数据库:
![](
http://ww2.sinaimg.cn/large/841aea59jw1fb4at3ycqxj20is0by75h.jpg
)
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4at9f05pj20iv0c6taw.jpg
)
![](
http://ww1.sinaimg.cn/large/841aea59jw1fb4atbx3ruj20ir0c674t.jpg
)
这样就挖到了这个站点的漏洞。
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录