Love-Yi情侣网站存在sql注入漏洞

FOFA介绍

部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集、 漏洞扫描， 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据。

网址: https://fofa.info/

添加描述

漏洞复现

搜索 love-yi 再找到国内站点，访问速度快一点，提高渗透效率

添加描述

love-yi是一个记录情侣日常的恋爱网站，经某位程序员修改和设计之后，使其更加美观好看，适合哄女朋友开心，或者留作纪念。

添加描述

找到点点滴滴下的文章

添加描述

文章详细页面

添加描述

查看url，包含了一个id

添加描述

尝试注入 添加一个 '

?id=6'

复制

查看源码，报错，存在sql注入漏洞

添加描述

注入payload

?id=6' union select 1,2,3,4 -- qwe

复制

还是报错，而且文章内容也没了，说明该表字段不含4列，尝试5列

添加描述

?id=6' union select 1,2,3,4,5 -- qwe

复制

正常显示，说明该表包含5个字段

添加描述

这里使用的union联结查询，他通常需要具备三个条件

• • 选择的列数在两个查询中都是相同的。
• • 数据类型在两个查询中都是兼容的。
• • 第一个查询（即原始查询）不返回任何结果，或者你知道如何绕过它（例如，通过使WHERE子句始终为假）。

第三点中提到了原始查询不返回任何结果，得到payload

?id=-6' union select 1,2,3,4,5 -- qwe

复制

添加描述

注入成功，将2修改为如下payload

//拼接数据库版本，当前用户
concat(user(),database())

复制

添加描述

总结

由于作者更喜欢手工注入，因为手工注入更不容易被发现，灵活性，但是技术要求比较高，也比较耗时，使用SQL注入工具可以提高攻击效率和成功率，但也存在易被发现、受安全设备限制、需要特定环境、可能引发误报以及依赖工具更新等缺点。

发布者：小羽网安，转载请注明出处：https://mp.weixin.qq.com/s/MC1B1QInBtVlYiso0BMMMw

原文链接：https://mp.weixin.qq.com/s/MC1B1QInBtVlYiso0BMMMw