• Zuhause
  • Artikel
  • SQL-Injection für $ 50 Kopfgeld, aber trotzdem lesenswert !!
Veröffentlicht am 10-03-2019

SQL-Injection für $ 50 Kopfgeld, aber trotzdem lesenswert !!

Hey Guyzz… !!! Ich hoffe es geht euch allen gut. Heute habe ich eine PoC-Demonstration und eine kurze Dokumentation dieses Exploits vollständig veröffentlicht.

Dies ist eine Beschreibung eines Fehlers, den ich in einem der privaten Programme von Hackerone gefunden habe. Da es sich um ein privates Programm handelt, kann ich den Namen des Programms nicht preisgeben (bitte beachten Sie, dass ich den Programmnamen in diesem Artikel als "Redacted" bezeichne). Ich habe SQL-Injection an einem ihrer Endpunkte gefunden: "/ rest / aom / index? Id ="

Ich untersuche dieses Programm seit vielen Tagen und finde am Ende immer Fehler mit niedrigem Schweregrad. Während des Ladens einer URL: https://www.redacted.com/aom?utm_source=Frontpage&utm_medium=banner%20popup&utm_campaign=Frontpage%20popup%20June17%20AOM wurde ein Endpunkt gefunden, an dem der ID-Parameter angezeigt wurde. Der alte / grundlegende Trick (nach dem ID-Wert) hat funktioniert und so habe ich vor 2 Jahren meine erste SQL-Injektion gefunden. Nachfolgend sind die vollständigen Schritte der Reproduktion aufgeführt.

Schritte zum Reproduzieren :

  1. Die URL wurde geladen: https://www.redacted.com/aom?utm_source=Frontpage&utm_medium=banner%20popup&utm_campaign=Frontpage%20popup%20June17%20AOM in Mozilla Firefox-Browser
    1. Klicken Sie auf „FOLLOW“ und erfassen Sie die Anforderungen in Burpsuite.
    2. Nun erhalten Sie viele Anfragen gefolgt von host: https: //redacted.com.
    3. Ich habe einen solchen Endpunkt gefunden:
    4. GET / rest / aom / index? Id = 3 HTTP / 1.1Host: www.redacted.com Benutzer-Agent: Mozilla / 5.0 (Windows NT 6.3; WOW64; rv: 48.0) Gecko / 20100101 Firefox / 48.0Accept: / Accept-Language : de-de, de; q = 0.5Accept-Encoding: gzip, deflate, brX-Requested-With: XMLHttpRequestReferer: https://www.redacted.com/aom?utm_source=Frontpage%22%3E%3Cscript%20% 3Ealert (document.cookie)% 3C / script% 3E & utm_medium = banner% 20popup% 22% 3E% 3Cript% 20% 3Ealert (document.cookie)% 3C / script% 3E & utm_campaign = Startseite% 20popup% 20June17% 20AOM% 22E3% 3Script% 20% 3Ealert (document.cookie)% 3C / script% 3ECookie: __utma = 155410345.398014507.1478469081.1478469081.1478724130.2; GA = GA1.2.398014507.1478469081; aom_popup = 1; thumbnail_size = large; __stripe_mid = 414d123e-85b7-4737-a479-7693beba627c; gid = GA1.2.1421519450.1497256887; PHPSESSID = 3celt75q8oh51e2jjkdl86iihjo7t3bcrh0lilfauq7odi5behjavnd8i3hsrog6ek1lb437uvu6pv3c8qd2jalt0l1jkjekl93a8f1; language = en; Herzschlag = 1497297643; _gat = 1Connection: close

      5. Die grundlegende Überprüfung, ob eine Site für SQL Injection anfällig ist, besteht darin, den folgenden Wert beizubehalten: ″ after id value. Genau das habe ich getan.

      6. Die Serverantwort lautet nun wie folgt:

      {"Message": "SQLSTATE [42000]: Syntaxfehler oder Zugriffsverletzung: 1064 Sie haben einen Fehler in Ihrer SQL-Syntax. Überprüfen Sie das Handbuch, das Ihrer MySQL-Server-Version entspricht, auf die richtige Syntax, die in der Nähe von '') LIMIT 1 'verwendet werden soll. Die Abfrage lautete: SELECT aom_campaign. * FROM aom_campaign WHERE (id = 3') LIMIT 1 "}

      7. Ich habe bestätigt, dass dies nicht browser- oder gerätespezifisch ist und mit der Übermittlung fortgefahren ist.

      Sie haben mir eine Prämie von $ 50 und 15 Punkten und HOF zugesprochen. Ja, ich glaube nicht, dass $ 50 für eine SQL-Injection niedrig waren, aber da ich wusste, dass dieses Programm nur 10 $ kostet, war ich damit einverstanden. Übrigens fand ich am selben Tag eine weitere SQL-Injektion an einem anderen Endpunkt, die mir den gleichen Betrag bescherte.

      Berichtszeitpunkt:

      Bericht über Hackerone - Jun 13th (vor 2 Jahren)

      Redacted kommentiert - Jun 13th (vor 2 Jahren)

      Report Triaged - Jun 13th (vor 2 Jahren)

      Added more info – Jun 15th (vor 2 Jahren)

      Status geändert zu Gelöst - 16. Juni (vor 2 Jahren)

      Ausgezeichnet mit 15 Punkten und 50 US-Dollar - 19. Juni (vor 2 Jahren)

      Danke fürs Lesen!!

Siehe auch

Wirklich gut gesagt.RSAC-Gewinne: Zero TrustsJenseits von #BigTech: #LowTech, #SmallTech und #WiseTechWie man CPU-Lüfter stumm macht^ Gott sei Dank ist Amerika ein großer Ort.IcodeAI Erfahrung