0x00 前言

如有技術(shù)交流或滲透測試/代碼審計/SRC漏洞挖掘/紅隊?向綜合培訓(xùn) 或 紅藍對抗評估/安全產(chǎn)品研發(fā)/安全服務(wù)需求的朋友?

歡迎聯(lián)系QQ/VX 547006660?

https://github.com/J0o1ey/BountyHunterInChina?

重?之我是賞?獵?系列，歡迎?家點個star

2000人網(wǎng)絡(luò)安全交流群，歡迎大佬們來玩
群號820783253

0x01 挖掘

在對某SRC測試時，本人根據(jù)其證書信息收集到了部分深度子域，并找到了其對應(yīng)的業(yè)務(wù)IP段 寫了個shell腳本+ffuf批量fuzz某src c段資產(chǎn)目錄

發(fā)現(xiàn)了xxSRC c段的一個提供了webservice的服務(wù)器

http://180.x.x.x/webservice/

獲取到接口 http://180.x.x.x/webservice/syncOrderToOdcService

使用soup ui 進行調(diào)試

數(shù)據(jù)

當(dāng)<arg0></arg0>中間無參數(shù)值時

Soap接口拋出了一個Oracle的錯誤信息，并提示“Date format error,YY-MM-DD”

隨后很簡單了，構(gòu)造一個符合條件的date數(shù)據(jù)

2021-9-23

Soap request：

屬于嚴重泄露客戶數(shù)據(jù)的漏洞

0x03 Soap接口的注入

看了一下oracle都爆出SQL的錯誤信息了，并且沒有預(yù)編譯相關(guān)的提示，這不得注入一波？

但是在注入的時候發(fā)現(xiàn)程序會將括號()過濾掉，導(dǎo)致函數(shù)無法執(zhí)行，sqlmap注入不出來

這時候就要用到騷姿勢了

在Oracle中文版本中,中文括號（）可以代替英文()而且不報錯！

EG:

剩下的就很簡單了，改一個tamper出來

python sqlmap.py -r xxx.txt --dbs --tamper=brackets.py ?//注入請求，在日期處加*

w到手，收攤