FOFA介绍
部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资 产进行信息收集、 漏洞扫描, 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据。
漏洞复现
搜索 love-yi 再找到国内站点,访问速度快一点,提高渗透效率
love-yi是一个记录情侣日常的恋爱网站,经某位程序员修改和设计之后,使其更加美观好看,适合哄女朋友开心,或者留作纪念。
找到点点滴滴下的文章
文章详细页面
查看url,包含了一个id
尝试注入,添加一个 '
?id=6'
查看源码,报错,存在SQL注入漏洞
注入payload
?id=6' union select 1,2,3,4 -- qwe
还是报错,而且文章内容也没了,说明该表字段不含4列,尝试5列
?id=6' union select 1,2,3,4,5 -- qwe
正常显示,说明该表包含5个字段
这里使用的union联结查询,他通常需要具备三个条件
- 选择的列数在两个查询中都是相同的。
- 数据类型在两个查询中都是兼容的。
- 第一个查询(即原始查询)不返回任何结果,或者你知道如何绕过它(例如,通过使WHERE子句始终为假)。
第三点中提到了原始查询不返回任何结果,得到payload
?id=-6' union select 1,2,3,4,5 -- qwe
注入成功,将2修改为如下payload
// 拼接数据库版本,当前用户
concat(user(),database())
总结
由于作者更喜欢手工注入,因为手工注入更不容易被发现,灵活性,但是技术要求比较高,也比较耗时,使用SQL注入工具可以提高攻击效率和成功率,但也存在易被发现、受安全设备限制、需要特定环境、可能引发误报以及依赖工具更新等缺点。