shikata ga nai

Private? There is no such things.

再びDVWAのSQL Injection Highをやってみた

Hello there, ('ω')ノ

 

今回は、これまでとはちょっと違ったスタイルで。

最近では、あまり見かけなくなったような。

 

f:id:ThisIsOne:20211106154255p:plain

 

正常動作を確認して。

 

f:id:ThisIsOne:20211106154348p:plain

 

異常系も。

 

f:id:ThisIsOne:20211106154438p:plain

 

さらにいつものシングルクォーテーションも。

ちなみにこの画面からリセットしてももとに戻らず。

どうやらキャッシュに問題があるようで、キャッシュをクリアするといいようで。

 

f:id:ThisIsOne:20211106154510p:plain

 

入力したサブ画面のリクエストとレスポンスを確認しても何も得られず。

 

f:id:ThisIsOne:20211106154609p:plain

 

データを検索して結果が表示される画面についても。

 

f:id:ThisIsOne:20211106154726p:plain

 

一応、RefererにあるURLを確認してみたところで、当たり前のことで。

 http://192.168.0.16/001/security.php

 

f:id:ThisIsOne:20211106155153p:plain

 

先にアクティブスキャンをかけて結果を確認してみると。

 

f:id:ThisIsOne:20211106155245p:plain

 

このようなケースだとSQLインジェクションの検出はできないようで。

 

f:id:ThisIsOne:20211106155410p:plain

 

なので、手動でペイロードを挿入して確認してみることに。

 

f:id:ThisIsOne:20211106160538p:plain

 

下記のペイロードだと親画面のレスポンスに時間がかかるため脆弱性ありで。

 ' or sleep(5)#

 

f:id:ThisIsOne:20211106160519p:plain

 

もうひとつのペイロードも確認することに。

 

f:id:ThisIsOne:20211106160847p:plain

 

いつものようにペイロードが機能したようで。

 admin' or '1'='1'#

 

f:id:ThisIsOne:20211106160814p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain