赏金猎人笔记-电子邮件中所存在的sqli

 

 

前言

本篇文章主要测试的是密码忘记功能;

过程

我第一次嘗試沒有空格的輸入：

a@a.com => valid

“a”@.com => valid

然後用空格：

dimaz arno@test.com => 無效

“dimaz arno”@test.com => 有效

它在會話中符合 RFC 3696

電子郵件地址的限制

符合3696的运行序列:

但是，在這種情況下，Uangteman API 會執行空格過濾器，也就是不允許使用空格（錯誤格式）

但是对于字符(和)来说，这是允许的，这有助于创建一个盲sql注入系统的有效载荷。

payload列表：(下面几个图比较值钱)

通過枚舉，最終得出數據庫中的字符數為10。

結論

當面對限制特殊字符的電子郵件過濾器時，我經常發現可以通過在電子郵件結構的本地部分（@之前）加上引號來繞過它，

格式是這樣的：“injection_here”@email.com

例子 ：

“<script src=//xsshere?”@email.com

“1-’or’1'=’1”@email.com

总结

这是对密码重置功能进行的sql注入测试;

主要是在@之前加上引号来绕过waf;

Tips: "injection_here"[at]email[dot]com

还有上面几个图可以记住