对edu证书站和企业站的通杀

admin 2026-07-13 04:46:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文以招新广告为包装分享了一个edu证书站与企业站通杀的SQL注入0day漏洞。作者在常规Fuzz与SQLMap绕WAF均失败后通过分析搜索框业务逻辑发现field参数控制查询列名而key为关键词。因引号被过滤作者将field替换为数据库函数并配合key值成功实现布尔盲注。文章建议渗透测试中应重视业务逻辑手工分析而非过度依赖自动化工具。 综合评分: 55 文章分类: 漏洞POC,漏洞分析,WEB安全,渗透测试,安全招聘


cover_image

对edu证书站和企业站的通杀

magua magua

OnePanda-Sec

2026年7月9日 10:00 湖北

在小说阅读器读本章

去阅读

OnePanada-Sec 招新啦

招新要求

  • 热爱网络安全,喜欢 CTF;
  • 拥有 CTF 比赛经验,有较好比赛成绩的;
  • 乐于奉献、热爱分享,愿意提升自己同时帮助他人;
  • 时间允许参加各类赛事,服从战队管理与安排;
  • 各类比赛获奖者、能力出众者视情况考量;
  • 未参与其他高校联队;
  • 大一同学视情况放宽资历要求。

联系方式

请将个人简历发送至以下邮箱:

简历邮箱:[email protected]

对于sql注入,大家都不陌生,分号报错,xia-sql插件挨个尝试数据包的点位。包括AI 绕 WAF 的方法持续更新,利用 SQLMap 绕过 WAF 的攻击手段也层出不穷。

这里,我想举个例子讲讲,在这个ai和工具盛行的时代,如何通过人工敏锐的洞察力拿下这个sql的0day–Cnvd评级高危,7.8分。(已全面修复)

当你去渗透一个开发商开发的一套系统,确实应该找一些参数点位和功能点。但是,这个sql点位却出现在大众觉得最出不了洞的“搜索框” !

大概就长这个样子,这个查询的搜索框查的数据肯定也得从数据库里面拿,既然有数据库的交互,那肯定有sql的概率。

抓包试试:

是一个post请求,参数位置都在请求体。具体参数值如下:

from_year=&to_year=&search_type=search&source_type=meta&field=title&key=123&additional_year=&additional_author=&additional_keyword=&page=1&page_size=10&CsrfCheckCode=e80p0p

个人认为,在fuzz参数点的时候,可以把这些字段名翻译一下,或者自己尝试思考理解一下讲的是有关业务的什么东西。心想:一个搜索框怎么这个多个参数?和平常普通的搜索好像不一样。

先挨个fuzz一遍。没什么结果,所有引号都被过滤了,有的还被waf拦截了,开始绕waf,二分法,sqlmap,ai跑,都无果。此时开始逐个分析参数名所代表的业务逻辑,发现,这是一个搜索框,很有可能是like注入,引号已经被参数化了,也许根本用不到引号。

大概思考完每个value的意思之后。再次尝试,找到sql点位,成功打出sql注入。

// 正常:

field = “title” →  WHERE title LIKE ‘%深度学习%’

field │ 搜索范围 — 在哪个字段里搜 │ 下拉框:按标题 / 按作者 / 按摘要 / 按关键词

key │ 搜索关键词 — 搜什么内容 │ 文本框:用户输入的关键词

后端的sql语句类似是:

string sql = “SELECT * FROM articles WHERE ” + field + ” LIKE ‘%” + key + “%'”;

接下来改包发包:

// 注入:

field参数改成@@version , key参数改成Microsoft。

还是个布尔盲注,只有field和key的值匹配上才能回显数据,匹配不上就不回显数据。

就此拿下此系统通杀。

微信QQ交流群

欢迎大家加入[ OnePanda-Sec ] 群聊一起交流 ^ ^

END


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:OnePanda-Sec magua magua《对edu证书站和企业站的通杀》

评论:0   参与:  0