EDU证书站 | 记一次VPN 系统内的SQL注入

来自学员投稿：

通过在之前课程学习的信息收集的手段，可以轻易拿到大量学号。

使用学号进行批量爆破、密码修改处逻辑绕过、密保猜测，最终

成功拿到一个学生个人账号，然后进行登录VPN，测试里面的内部系统。

这些内部系统，只有登录VPN之后才能访问，外部无法访问，因此被测试的概率会小很多，漏洞也很多。

点击进入一个“网上办事大厅”

仍然需要重新输入密码，这里密码和vpn设置的密码一致，这种情况很常见，一个号主经常使用相同的密码在不同的系统（我个人也经常如此）

这种经常使用相同密码，在行业上被称之为“撞库”，在渗透测试中经常遇到。

之后进入研究生学生综合系统，点击下面研究生新生基本信息确认。

这里面有很多功能， 每一个都点一遍， 然后就能拿到全部的数据包。

拿到全部数据包后，在其中一个数据包，使用SQL注入快速判定法，一个一个测试，appid处存在sql注入。

针对于sql注入有一个很快的判定方法，可以快速判定八成的注入。

比如appid存在注入，在后面进行四个单引号判定方法。

插入一个单引号报错

插入两个单引号不报错

插入三个单引号报错

插入四个单引号不报错

如果符合上述情况，基本上七八成的都是存在注入，非常方便。

后续就是手动深入验证或者交给sqlmap。

如果使用sqlmap，像这种vpn登录后的注入，必须进行数据包保存为txt，再发给sqlmap才可以跑出来，否则直接跑，无cookie会无法访问。

对于这种数据包保存后的注入，需要使用sqlmap参数 -r test.txt 进行指定。

python sqlmap.py -r request.txt --batch

可以成功跑出来存在注入。

原文始发于微信公众号（WK安全）：EDU证书站 | 记一次VPN 系统内的SQL注入