某大学新版学工系统SQL注入与WAF绕过

最新推荐文章于 2025-04-27 10:52:27 发布
最新推荐文章于 2025-04-27 10:52:27 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a709046532/article/details/113704701
版权
本文揭秘了一次在校内SRC活动中发现的学工系统SQL注入漏洞,涉及敏感信息处理和Bypass WAF技巧。作者详细描述了漏洞发现过程、利用自动化工具如Xray和SQLMAP,以及绕过安全防护的方法,强调了系统安全和编程技能在此类挑战中的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

声明:本文所做所有操作已得到学校官方授权,漏洞已经报送并确认修复,认出来的同学请勿将本文用于非法用途


在挖掘校内SRC时发现核心系统之一学工系统存在SQL注入,遂有此文


前期的信息收集:

①**大学的学生工作管理系统,在校期间几乎所有学生的业务办理都会经过这个系统。是非常敏感的业务点

②系统对外网开放,需要经过学校的cas系统进行认证才能进入(但对于校内学生来说问题不大)

③该系统上了某知名安全的商业waf,在之后的渗透中很大一部分时间是在尝试着对waf进行绕过




网站打开是这样的:

在这里插入图片描述

一般来说这种系统涉及到的信息比较多而敏感,交互也比较复杂,很容易出现水平越权,信息泄露之类的问题。之前也挖到过,但不是本文的重点。

为了测试效率我们使用xray配合rad对网站整体进行一些扫描

在这里插入图片描述

扫描完毕查看报告,可以看到几个疑似SQL注入的漏洞,但是否是假阳性需要手工进行进一步的确认。

在这里插入图片描述

通过报错及xray提供的信息我们知道该系统使用的是Oracle数据库,且出现的可能是报错注入

在这里插入图片描述

这个时候自然想的是SQLMAP等自动化的脚本来帮我们取数据了,但由于有waf的存在我们需要先找到绕过waf的方式

尝试失败的截图我就不放出来了,最后我找的成功的方式是使用增加垃圾数据包的方法让waf直接放行从而绕过。



参考的主要是这个师傅的文章

https://xz.aliyun.com/t/7578?page=34



按照师傅的方法,我们需要生成一些垃圾数据,这里直接照搬脚本:

import random

ls = [chr(i) for i in range(33,125)]
ls.remove("#") # 防止url被注释
ls.remove("*") # 方便使用sqlmap报数据
s = ""
for i in range(10000):
    s = s+random.choice(ls)
print(s)



生成效果如下:


在这里插入图片描述

填充垃圾数据前后响应对比:

在这里插入图片描述

在这里插入图片描述

waf绕过之后我们就能进行利用了,将抓到的包放进sqlmap中跑即可,记得用*号设置注入点。


SQLMAP能成功探测出一样的注入

在这里插入图片描述

但在利用时除了些许的问题,SQLMAP取不回数据:

在这里插入图片描述

开启 -v 并将等级调到最高,看返回的结果。最终发现网站会自动对传入的括号用单引号括起来:

在这里插入图片描述



在这里插入图片描述

这样其实相当于逗号不能用了。不过问题不大,通过一些等价的表述我们依旧能够拿到数据,而且对于SRC的挖掘而言我们的目的已经达到了。

我们可以看一哈系统中有哪些表,简单验证一下这个漏洞:

在这里插入图片描述

以及最后的一个为了自动化拿数据写的脚本(敏感信息就不放源码了):

在这里插入图片描述
在这里插入图片描述

总结:



①存储大量信息且频繁和用户进行交互的系统是非常容易出问题的点,是SRC挖掘需要重点关注的对象

②Bypass waf是非常考验技术和耐心的一个点,这次是运气好成功绕过,以后还要加深学习

③即使绕过了waf由于网站本身的复杂性,自动化的工具可能需要自行改造或者重新编写,一个好的编程能力对于一个白帽子来说是不可或缺的。





以上

实战纪实 | 学工平台平行越权
zkaqlaoniao的博客
04-17 400
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。1.对存在权限验证的页面进行安全校验,校验网站前端获取到的参数。3.对涉及用户id、账号、密码等敏感数据进行加密。2.对于修改添加等功能进行权限判断。2.同ip多次访问锁定此ip。帮助你在面试中脱颖而出。
墨者学院 - SQL注入实战-MySQL
多崎巡礼的博客
08-08 2094
两种解法 一、利用sqlmap及其tamper模块base64encode使用 1. 看到id后面的参数可能是base64加密后的结果,我们尝试解密,解密结果为1 2.查看当前的系统信息 sqlmap -u "http://219.153.49.228:43371/show.php?id=MQo=" --tamper=base64encode 3.暴库 sqlmap -u "http:/...
SqlMap绕WAF脚本
所有文章均免费阅读,大家一起学习
04-25 169
SQLMap 脚本在 SQL 注入攻击中广泛用于绕过 Web 应用防火墙(WAF)。这些脚本通过修改 SQL 负载,使其能够避开 FortiWAF、F5、Barracuda、Akamai、Cloudflare 和 Imperva 等厂商的 WAF 检测。本文将深入介绍各种 SQLMap 脚本绕过技术、它们的工作原理、对 WAF 的有效性以及实际测试场景。
SQL注入风险高,手写 SQL 须谨慎
古时的风筝
01-07 2385
SQL注入风险高,手写 SQL 须谨慎。
学生信息管理系统(bug)
01-22 312
建立一个包含学生、家长、老师、班级的学校管理模型,系统录入、查询学生信息、家长信息、老师,以及班级的信息,注意,要建立各信息间的关联 //学生类 package demo; public class Student { private String name; private int Cid; private String gender; private Parents[] par...
waf绕过之信息收集
矜庄寂寥的博客
12-11 3824
目录绕过手法测试环境安全狗默认防护(不开CC流量防护机制)更改请求头绕过安全狗默认防护(开启CC流量防护机制)1.使用延时扫描绕过2.模拟用户请求绕过总结 绕过手法 测试环境 window server 2003,安全狗v4.0 安全狗默认防护(不开CC流量防护机制) 安全狗配置如下: 使用目录扫描工具进行网站目录扫描 可以看到工具的默认http请求为HEAD请求,且扫出了很多状态码为200的目录 我们进入网站查看 发现扫出的并非为真实存在的目录,从而猜测是被安全狗检测出来了 查看安全狗日志进行验证
SQL注入篇-网络渗透
u011250160的博客
01-27 223
1布尔盲注 返回结果只有正确或错误 1.1构造比较语句可以判断出数据库库名的长度 例: ?id=1 and length (database()) >= 1 --+ ?id=1 and length (database()) <= 10 --+ 根据返回界面显示是否正常,从两边向中间逼近判断出正确的长度 1.2利用substr()逐个截取得到库名,mid()也可以用于截取 例: ?id=1 and substr(database(),1,1)=‘t’ --+ 判断数
[太原理工大学] 2023 年底 信息安全技术考试复习
m0_65589964的博客
11-24 2415
太理大四上考试复习
信息安全网络安全有什么区别?
2401_84297944的博客
04-29 929
信息安全包含哪些内容?1、硬件安全:即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。2、软件安全:即计算机及其网络 r 各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。3、运行服务安全:即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。4、数据安全:即网络中存在及流通数据的安全。
Web安全:威胁解析综合防护体系构建
最新发布
我是赛博AI Lewis
04-27 809
Web安全需从威胁识别、技术防护到管理流程形成闭环。企业应建立基于风险的动态防护体系,结合自动化工具人员培训,并关注AI、量子计算等前沿技术对攻防格局的重塑。正如Gartner预测,到2025年60%的企业将依赖AI增强安全方案,只有持续创新才能在数字攻防中保持主动。Web安全是保护网站、应用程序及用户数据免受恶意攻击的核心领域。随着数字化转型加速,攻击手段日益复杂,防护需兼顾技术深度系统性。以下从威胁分类、防护技术、最佳实践及未来趋势四个维度,结合行业数据案例进行解析。
2021Web安全面试题大全(附答案详解)看完稳了
热门推荐
m0_59991869的博客
10-13 1万+
人人都有一个进大厂的梦想,而进大厂的门槛也可想而知,所以这里整理了一份安全大厂的面试大全,看完文章如果对你有帮助的话希望能够点赞+收藏+关注!感谢! 本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也会陆续更新其他大厂的面试题目和知识点。另外我还整理了许多关于Web安全的学习资料+工具包等等,需要的点击Web安全学习 一、渗透测试面试题,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先做什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢
学生工作管理系统
03-24
学生工作管理系统,包含班级管理,成绩管理,课程管理等几个方面
密码安全攻防技术精讲
GitChat
07-03 3340
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
网站的SQL注入实战
xingxiant的博客
07-13 6084
sql注入是黑客常用的手段之一,最近装了kali系统,所以体会了一把sql注入的感觉,有点体会记录如下:首先我们来看一下如何判断一个网站是可以进行sql注入: 为了把问题说明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY为例进行分析,YY可能是整型,也有可能是字符串。 1.整型参数的判断:     当输入的参数YY为整型时,通常abc.asp中SQL语句
记一次某大学sql注入到getshell
渗透测试研究中心
01-19 313
0x01 前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复0x02 sql注入getshell失败在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤了空格,这里可以用/**/代替于是直接上sqlmappython sqlmap.py -u url --batch --tamper=space2comment.py –dbs 发现是...
漏洞百出之学生管理系统(二)
朝 花 有 露*
08-17 1728
漏洞百出之学生管理系统 现阶段,有些童鞋处于代码初步完成时期正在焦头烂额地调试中;有些童鞋紧追不舍地找师傅,检查;剩下的或许在洋洋得意地不急不躁地进行下一环节。无论如何,本人希望这次总结对一些正在代码调试过程的童鞋有所帮助,对一些处于过去式的童鞋起到温习功课的效果。 ★
如何用SQL注入进教务系统-看暗恋的妹子选了什么课?
weixin_54787877的博客
07-04 873
前言 此次渗透测试较为基础,有很多不足的地方,希望各位大佬能够指正 首先打开学校的官网:http://www.xxxx.edu.cn 嗯,直接干。。。 这里直接进行子站查找,一般主站不会让你打进去的(大佬当我没说 …), 进行了一番查找,找到了一个学校的图书馆系统 需要学号和密码 学号一般通过谷歌语法来搜集就可以 默认密码打一发123456 一发入魂,然后想到固定密码然后跑一发学号这样准确率会高很多 根据学号推测 例如 2019** 一般是根据 入校年数+专业+班级+**来设定的,随后按照猜想 构造学号
学工系统0day挖掘
goddemon
01-02 913
其实个人不是很喜欢写src挖掘实战的文章的 话不多说 进入正题 对某高校进行很常规的信息收集后发觉了个学工系统 登录框是这样的 没有验证码 很诱惑人 利用之前进行的信息收集 直接开始爆破 运气不错进去了 ①0day1 然后用burp简单的抓了下包 查看了下cookie 根据经验 猜测这里可能存在越权 直接改学号 比如改为 19970018 放包 成功的实现越权 ②sql注入 一个接口一个接口的查和审最后在查询接口处 找到了sql注入 在一个点找到了sql注入 sqlmap.py -r C:\Pyt
学工系统0day挖掘-危害拉满
goddemon
03-21 422
提取该站的指纹,进一步刷分,成功打满。
runtime-core.esm-bundler.js:38 [Vue warn]: Extraneous non-emits event listeners (showLabelDetail, success) were passed to component but could not be automatically inherited because component renders fragment or text root nodes. If the listener is intended to be a component custom event listener only, declare it using the "emits" option.vue3.2里面的警告
06-09
这也是一个 Vue.js 的警告信息,和你之前提供的警告信息是一样的。在Vue 3.2中,为了更好地支持TypeScript,Vue.js在组件中强制实施了props和事件类型检查。这个警告说明传递给组件的事件监听器(showLabelDetail和success)不是通过emits选项声明的,因此无法被自动继承。为了解决这个警告,你可以在组件中添加emits选项来声明这些事件,例如: ``` emits: ['showLabelDetail', 'success'] ``` 这样声明后,Vue就能够正确地检查这些事件的类型,并且不会再发出警告信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值