被某平台拒了，说技术含量不高~_~

只能说人生不如意十之八九，我也想目标给我整点WAF绕着玩玩，氮素并没有呀。

. . . * . * ☄️. * . * . 🔆 .* . * . 🧶 * . * . . .

先上证书截图，这是去年的事情了，不过由于过程比较曲折导致笔者印象很深刻：

第一个线头

大家都知道CNVD的事件型漏洞只收那么几个企业+政府机构，所以有段时间我一直在挖铁塔的漏洞。而CNVD审核的口味比较古典（这是一个中性词），想要拿到证书，漏洞类型必须为高危，所以越权等中危逻辑型漏洞和弱口令等中危漏洞是不可能收的。

我一直在挖铁塔的漏洞，挖到什么程度呢：那段时间我对铁塔程序员们的命名风格、常用框架等都一清二楚，属于是铁塔程序员一脱裤子我就知道他要fun什么pee（这个可以说的吗）。实际上铁塔这个企业还是很有大国企风范，各个分公司之间的命名是比较统一的。

第二个线头

挖到一个未授权，属于A省省公司，里面有账号初始密码：

初始密码为地区名缩写@321

不过这种未授权理论上属于低中危，危害再大也不会拿证书，先放着。

第三个线头

挖到B市级分公司的未授权，有账号名列表：

获取到了很多用户名，比较特别的是超级管理员的用户名，不是admin而是XXXadmin。

目标系统后台登录-注入获取CNVD证书

同样是B市级公司，另一个系统，小程序。

上来就是登录框，使用常规字典+123456爆破失败（图已经被我丢了，小程序也下架了）。

由于同属于B分公司，第一时间想到的是之前拿到的用户名列表。换用户名字典爆破，仍然失败，但枚举是成功的（也就是说用户名对上了）。

123456不行，说明系统要求强口令（基本凉凉，但也有可能存在默认口令，就像第二个线头中的情况）或要求用户自行修改密码（希望较大，因为总有用户使用弱口令）。所以扩大密码字典大小重新爆破，看看是第几种情况。

结果还是登不进去，那就应该是第一种情况。

这下只能打默认口令的主意了。还记得我提到的第二个线头吗？虽然公司不同，但地区缩写我还是会找的。修改密码字典为B省名@321重新爆破失败，修改为B市名@321爆破成功！

进入系统后随便点点，发现注入口：

手注一波，使用最爱的case when闭合，跑用户名：

'||1/case when substr(user,1,1)='§§' then 1 else 0 end||'

得到用户名为S**（公司缩写）nb（喜欢这个命名，希望铁塔程序员再接再厉），然后写报告提交CNVD喜提证书一个~

. . . * . *  🌟  * . * . . .

由于很多人问我微信群的事情，所以我建了一个小微信群。现在可以在公众号菜单里选择合作交流->交流群获取交流群二维码，希望大家和谐交流，为更好更友善的行业环境贡献自己的力量。

原文始发于微信公众号（重生之成为赛博女保安）：从跨省级弱口令到CNVD证书