记录正方教育系统一次检测过程

参考文章地址:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0122523.html

本次检测的目标中存在其中提到的一处注入BMCheckPassword,参考文章中讲的不够清楚,这里具体分析
对某教育系统一次检测笔记

sKey是内置的常量,这个文章中已经提到,注入点出在strYHM中,为字符型oracle布尔注入,当结果为真时返回5,结果为假时返回3
对某教育系统一次检测笔记

在该处可以注入,但sqlmap却非常给力的没发现注入
对某教育系统一次检测笔记

根据文章中提到的,jwc01为内置管理员账户,拥有很高的权限,且为默认用户,不需要再去找其他用户名
可以使用该payload来遍历jwc01加密后的密码
jwc01' and (SELECT SUBSTR(TO_CHAR(KL),1,1) from yhb where yhm='jwc01')='a

正方系统加密后的密码通常为8位,且字符范围为0-9,a-z,A-Z, !@#$%^&*(){}[]_ (待考证)
使用burp模拟发包

对某教育系统一次检测笔记

后续只需要不断变化该值即可查处每位的字符
对某教育系统一次检测笔记

对某教育系统一次检测笔记
用来遍历时方便查找对应数值

对某教育系统一次检测笔记
对应值为5的说明为正确字符

后续重复上面的动作,即可获得加密密码
最后将密码解密即可
对某教育系统一次检测笔记

对某教育系统一次检测笔记

检测的站点比较尴尬,登录后的功能模块都被阉割了,先到这里,后续再更新