Ищем SQL-инъекцию на скорую руку

Домен компании назовем example.com.

После сбора поддоменов, был замечен один весьма интересный, имеющий страницу входа и работающий с PHP 7 на сервере Windows.

Вы можете узнать, какую технологию использует сайт, с помощью wappalyzer.

Поскольку известно, что этот веб-сайт использует PHP, можно попробовать вставить одиночную кавычку в поле имени пользователя и выполнить вход. В результате, видим базовую SQL ошибку, а значит можно использовать sqlmap.

Для этого, поместите ' в любое поле страницы входа в систему, перехватите запрос с помощью burpsuite и сохраните запрос в файл.

Затем выполните:

sudo sqlmap -r req.txt --batch --dbms=mssql --level 5 --risk 3 --dbs

Это можно сделать и вручную

admin'SELECT+1,@@VERSION,3--

Мы получили первую SQL-инъекцию, можно работать дальше.

При проведении фаззинга была обнаружена другая конечная точка - getimage.php. Вы можете найти ее с помощью ffuf, dirbuster или dirb. И в этой конечной точке был найден параметр id, в котором также можно найти уязвимость.

Переходим на конечную точку getimage, перехватываем запрос в Burp Suite и используем расширение Param Miner для поиска скрытых параметров.

У нас есть параметр id, Теперь можно использовать sqlmap для этого параметра.

sudo sqlmap -u https://sub.ex.net/getimage.php\?id\=1 --batch --dbms=mssql --level 5 --risk 3 --dbs

Мы получили вторую уязвимость.

Для следующего шага было сделано тоже самое, мы обнаружим, что вызвана другая конечная точка - downloads.php и у этой конечной точки есть параметр с именем dir.

sudo sqlmap -u https://sub.ex.net/downloads.php\?dir\=a --batch --dbms=mssql --level 5 --risk 3 --dbs

Находим третью уязвимость: