将基于时间的SQL注入升级为RCE

文章预览

0x00 概括 不久前，我和我的朋友@ Rakai 、@ Ardya Suryadinata 、@ hernowoadin 偶然发现了一个有趣的漏洞并进行讨论，即网站URL路径上的SQL注入，我们称之为 redacted.com 。 我们尝试升级此SQL注入以获得反向shell，利用xp_cmdshell.有一些障碍，例如我们无法在执行的命令中输入斜杠“/”。 然而，biidznillah，我们通过执行 PowerShell 编码的命令获得了shell。 0x01 Burpsuite扫描结果 这一切都始于Burpsuite扫描的结果，该扫描在  /download/123/123  上显示SQL注入警报。它与通常的SQL注入不同，因为此SQLi注入位于设计用于下载文档的URL路径内。 在问题详细信息中，Burpsuite使用了以下基于时间的SQL注入payload，应用程序响应时间为20074毫秒（20 秒），与仅花费2327毫秒（2 秒）的原始请求显着不同， 这强烈表明Web容易受到基于时间的SQL注入的攻击。 waitfor delay '0:0:20' ---> Respons : 20073 ………………………………