记二次帮学员拿下edu证书站

前言

最近再打edu攻防，有点忙。今天要结束了，索性记录一下帮学员拿下四川轻*工证书的过程，当时一下班就收到了学员的求助，直接上号开干！！！

证书挖掘过程

1.第一步收集到登录页面，直接开干

2.发现返回包就两个参数，直接改响应体绕过登录

3.直接进后台了，美滋滋

4.其实这里感觉会重复，随即继续挖掘其他的漏洞。

 5.于是就有了，学员找我问哪个注入的过程，通过翻接口发现了个sql

6.其实这里比较有意思的，好几个单引号都是报错,因为他最初的包是这样子的 

{"zd":"log(2)"}

7.后端运行原理应该是下面这样子的，说实话像这种证书站用sqlmap跑真的很少可以直接出了，包有waf的(说实话证书站真的全是waf)。学员肯定也跑了，没成功才问我的。

8.正因为有waf，这才有深情哥手把手帮他搞

9.所以这里直接用exp函数，相当于后端直接执行的select+exp(710),那不就是可以通过exp的特性搞出数据库的用户名了嘛。

exp(709)------>不报错exp(710)------>报错

{"zd":"exp(700+length(user))"}

有关去年edu教育漏洞平台的成果

已经搞edu+src培训一年了，感谢大家的支持，湘安无事团队再去年年也是拿下了年度top2，当然也离不开学员和成员的付出，到时候我们会打印证书并送水晶框给突出贡献的学员和成员。