文章总结： 本文分享了一次针对母校电费查询系统的WAF绕过经历。作者通过抓包发现输入点存在SQL注入，构造闭合时被WAF拦截。将GET请求改为POST后绕过了限制，但后续操作因字符长度被限制而受阻。最终，作者使用一个恰好10个字符的特制payload成功报错并获取到数据库用户名dbo，完成了一次有限的漏洞验证。 综合评分： 75 文章分类： 渗透测试,WEB安全,实战经验,SRC活动

记母校漏洞测试一次waf绕过经历

湘安无事

2026年3月31日 00:06 湖南

编者荐语：

学员案例

以下文章来源于植物人学安全 ，作者qfbsz

植物人学安全 .

面试经验分享、web安全知识分享、src、渗透测试、测试工具、个人学习记录

免责声明

| | | — | | 本文仅用于网络安全技术学习与交流，严禁将文中技术用于任何非法入侵、未授权测试、数据窃取等违法违规行为。因擅自使用本文内容进行非法操作、或传播本文所造成的一切法律责任与经济损失，均由使用者自行承担，与本公众号及作者无关。如有内容侵权，请及时联系我们处理 |

0x1前言

没测试过母校的人生是不完整的，今天的一个例子因为做了限制，没什么危害，只能证明有漏洞，就来浅浅的分享一下

0x2漏洞测试

微信里面找到一个电费查询的链接

点击用电查询

来到这样一个界面

随便输入点什么开始抓包

单引号报错，说明是有注入的

我直接构造闭合，直接被拦了

学校竟然偷偷上waf了

遇事不决，我直接摇深情哥逆转大局

sqg一来把get改成post后直接不拦了

哈哈，我真没招了，甜菜

可以看到闭合成功后有正常回显

就在我要进一步的时候，又来一个奇怪的回显，不管后面加啥都空白了

这我注啥呀

后面发现这个参数有字符数量限制，只能有10个字符

超过这个字符回显一律变成空白，那要怎么证明危害呢，这毕竟要交edu的，遇事不决，摇深情哥

从深情哥哪里学到了一个payload：’-user/1-‘，这玩意刚好10个字符(被做局了)

成功报错用户名称为dbo

这个注入点只能用这个payload，这也是为什么我说他没啥危害的原因

成功拿下高危3rank，最后还要感谢深情哥帮忙

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：湘安无事 null《记母校漏洞测试一次waf绕过经历》