声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

前言

sqli和xss的一篇笔记;

本篇文章主要分享的是身份验证绕过相关的漏洞,主要聚焦于如何获取访问权限以及如何在SQLi之后获得XSS

正文

首先通过信息搜集到网站的一个子域名为http://psizimll2.zol.co.zw/,并且该子域显示默认的 IIS7 页面;

一开始就测试这个子域的 2 个 IIS7 中最常见的问题:

1. Microsoft IIS Tilde Vulnerability（该网站易受此问题影响）
2. HTTP.sys DOS 和可能的 RCE

但是并没有发现什么问题;于是在谷歌上搜索了子域，看看是否有关于这个特定子域的任何信息（大多数时候，一个简单的谷歌搜索会给你一些文件或文件夹）,这里也没发现。

使用dirbuster和DirScanner对目录进行暴力破解,得到了以下结果:

http://psizimll2.zol.co.zw/test.php
http://psizimll2.zol.co.zw/info.php
http://psizimll2.zol.co.zw/cp.php

两个页面test.php和info.php都通过phpinfo()泄露了一些信息;

当进入到网址http://psizimll2.zol.co.zw/cp.php 的时候, 将被重定向到子域的主页面，也就是 http://psizimll2.zol.co.zw/.

有一个NoRedirect的插件,使用之后,进入网址 http://psizimll2.zol.co.zw/cp.php ,便没有重定向到 http://psizimll2.zol.co.zw/;

http://psizimll2.zol.co.zw/cp.php 看起来像某个网络应用的一个控制面板,里面有一些用户数据.

做一些搜索数据操作,它是某种类型的用户信息数据库;

在搜索时,得到另一个页面:http://psizimll2.zol.co.zw/dnpc.php, 这个页面得到了用户的数据，在那里可以搜索特定日期的用户数据，当搜索时，一个POST请求被发送到文件/dnpc.php

其中的帖子数据为:Submit2=Go&end_dt1&start_dt=10, 发现end_dt或start_dt的任何数据都反映在页面的<th></th>标签下，所以这里尝试添加一个简单的图像的XSS有效载荷，它被反映在<th></th>标签下，XSS有效载荷被执行.

在上述相同的端点，在相同的POST请求中，简单地改变了搜索1′Submit2=Go&end_dt1&start_dt=10,这个请求的响应返回了一个错误:

Could not get htccc data: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”’ at line 1

最后利用这个漏洞获得基本信息和表格.

后记

这里有点不太好的地方是,没有将具体的POC给放出来,但是从文中,我们也能推出,这里的POC也是常规类型的,其中的亮点就在于利用一个插件绕过了身份验证.

星 球 免 费 福 利

 转发公众号本文到朋友圈

 截图到公众号后台第1、5名获取免费进入星球

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！