文章总结: 本文讲述了如何挖掘看似无法访问的网站中的漏洞。通过技术指纹识别发现后端运行ColdFusion,利用网络档案重建发现遗留端点。针对暴露的目录进行模糊测试找到参数缺失报错页面,进一步添加参数触发数据库错误信息泄露,最终确认存在严重SQL注入漏洞并能获取数据库版本信息。建议重视遗留系统安全及错误信息处理。 综合评分: 86 文章分类: 渗透测试,漏洞分析,WEB安全,实战经验,漏洞POC
0109.从“网站无法访问”到基于严重错误的 SQL 注入
原创
Chos3n(haris)
Rsec
2025年12月31日 12:12 贵州
本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。
声明:本文搬运自互联网,如你是原作者,请联系我们!
类型:攻击链
大多数漏洞猎人会忽略那些看起来已被锁定或不活跃的域名。而这个漏洞恰恰是反其道而行之造成的。
第一印象:“网站无法访问”
页面状态
没有用户界面,没有链接,没有任何功能。乍一看,这个域名完全无法访问,可以忽略不计。然而,这种限制仅限于前端。
技术指纹
通过基础技术分析,确定后端技术栈如下:
- II 10.0
- ASP.NET
- ColdFusion (CFML) Windows Server
传统的 Windows + ColdFusion 堆栈通常是终端设备被遗忘的强烈信号。
初始测试:简称枚举
考虑到 IIS + ColdFusion 架构,我首先想到的是 IIS 短名称(8.3 版本)枚举。我测试了短名称泄露的情况,但没有发现任何有用的信息。没有有效的匹配结果,也没有任何异常行为。此时,并没有明显的漏洞——但我继续深入调查。
随机路径测试揭示内部信息 “target.com/aaa” 看起来很有意思。
这是该域名虽然前端受到限制,但底层可能仍然存在漏洞的第一个迹象。
转折点:网络档案重建
我利用网络存档资源,列举了与该域名关联的历史 URL。这使我找到了一个 JavaScript 文件,这成为调查的转折点。在该 JS 文件中,我找到了对三个后端端点的引用。
其中一个链接立刻脱颖而出:
#
测试 ColdFusion 端点
/websnips/getItemImages.cfm 端点仍然可用,并返回包含图像路径的 JSON 数据。虽然此端点确实泄露了内部图像位置,但它本身并未暴露任何敏感或可利用的信息。不过,它证实了:
/websnips/目录存在- ColdFusion 端点可达
- 遗留后端代码处于活动状态
这使得该目录成为进一步测试的理想候选对象。
目录模糊测试揭示隐藏端点
就在那时,我发现了另一个终点:
/websnips/vstats.cfm
访问该页面时返回 HTTP 500 错误,并显示 ColdFusion 错误页面。
错误信息显示:
key [NAME] doesn't exist
这立即表明该端点需要一个名为 name 的参数。
#
参数注入触发数据库错误
我添加了缺失的参数:
/websnips/vstats.cfm?name=aaa
这一次,响应再次发生变化——现在返回数据库错误:
Invalid column name 'aaa'
更糟糕的是,该应用程序还泄露了正在执行的完整 SQL 查询。
#
最终确认:基于错误的 SQL 注入
为了充分验证漏洞利用的可行性,我测试了一个经典的基于错误的 SQL 注入有效载荷:
/websnips/vstats.cfm?name=CAST((SELECT @@version) ASINT)
数据库响应转换错误,泄露了完整的数据库版本信息,证实存在完全可利用的基于错误的 SQL 注入漏洞。
就这些了,各位。感谢阅读——希望这篇文章对你们有所帮助,并能启发你们的思考。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Rsec Chos3n(haris)《0109.从“网站无法访问”到基于严重错误的 SQL 注入》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论