扫码领资料

获网安教程

本文由掌控安全学院 -  kpc 投稿

来Track安全社区投稿~  

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

一、确定资产

EDU资产除了小程序最好上分以外，就是公众号、服务号了，这里面也有很多隐藏的资产，因为想要某大学证书，所以选择从公众号下手，毕竟这个证书站已经很久了，小程序估计早被打完了：

二、SQL注入一

进入缴费系统后，是一个登录系统：

经过测试，这里并没有注入，但还有激活账号和忘记密码功能，那自然不能放过：

于是在找回密码处进行测试，发现了SQL注入：

加单引号报错，再加一个正常：

这里尝试了注释符，并没有起作用，所以想要闭合只能像这样用两个引号来闭合：

而且经过测试，还发现空格被过滤了，这对我们往下获取数据影响是非常大的，这时因为我们为了闭合，payload的结尾只能是这样：’and’1’=’1，所以可供我们发挥的只有在中间进行注入，即在插入一个’and’1’=’1，即
,我们想要获取数据库长度或其他别的数据只能从中间的语句进行变形，但是现在过滤了空格，就无法进行判断长度等操作，因为这必不可避免的要用到空格，例如：

and和函数之间是不可以连用的，因此只能想办法绕过空格，于是我尝试了一下payload:
%0a、%09、%0b、%0c、内联注释符、等一系列方法均失败了，最后通过添加括号成功绕过：

但是下一个问题随之而来，就是布尔盲注时，无论是为真，为假，页面返回均一样，于是我想到了exp函数报错来使后端报错，从而产生页面的不同状态，接下来的payload如下：

果然，返回包报错了：

再改成exp(709)，页面恢复正常：

接下来就简单了，先判断长度函数可以使用：

接下来判断数据库长度：

在降低到718时达到报错的临界，即exp(709)，因此数据库的长度为9
到这里，已经可以提交了，不过这个接口都有注入了，那还剩一个激活账号的功能，说不定也有注入。

三、SQL注入二

这个接口的注入相对就比上个接口简单多了，空格用%09绕过了，而且布尔语句为真为假页面回显不同，当布尔语句为真时报错，为假时返回正常：

基于此展开盲注，判断出数据库长度：

增加到9时报错，说明布尔语句为真，证明数据库长度为9：

四、总结
1、确定站点时可以多考虑服务号、公众号进行测试，还有很多资产没有被大佬们挖过。
2、布尔盲注无回显时，可以考虑使用exp函数报错的临界进行盲注。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：拿下证书站两个接口SQL盲注