挖edu的一次SQL过安全狗到webshell- Track 知识社区 - 掌控安全在线教育

大家好，我是mine
分享最近对edu的挖掘
进入主题
网站注册功能
在注册时网站用户名会进行校验

说明注册的账号已经存在

在test后面加个单引号，会进行一次302跳转，输入两次单引号会把闭合前面的语句，也可以使用—+闭合
这里不能直接用sqlmap跑，因为报错会进行302跳转，跑不出来，而且还有安全狗！！！

我没有注册，我发现网页底部有个登录入口，跳转到了网站后台

万能密码直接进入后台，进入后台其他功能都用不了，这里也是一个注入点。

退出登录尝试手工弱口令，成功弱口令进入后台。
在后台找到注入点测试绕过安全狗

发现/**/可以绕过安全狗的拦截，写个小脚本丢进sqlmap中去跑。

发现是个dba权限，执行—os-shell进行提权，在执行命令时被安全狗拦截了，打开burp查看历史记录，分析拦截的语句和正常的语句。这里没截图不好意思。。。
安全狗对多个from拦截，在每个from前面加上注释和换行进行绕过。

这里成功绕过安全狗，并执行命令
接下来就写冰蝎马到网站根目录（后台提供了网站绝对路径）

成功连接上传的马

总结：
遇到的一些问题，在—os-shell提权分析安全狗拦截，多次重放修改被拦截的包，找到被拦截的语句或字符（这里我找了有一会），最后发现多个from就会被拦截，于是在from前面拼接注释发现正常访问了，接着拼接—+%0a成功绕过。

弟弟第一次写文章，如果那里有漏的，希望大佬们提醒一下。
文章写的不怎么好，请大佬们别喷弟弟。

用户名	金币	时间	理由
奖励系统	100.00	2020-05-21 09:09:52	投稿满 10 赞奖励
奖励系统	50.00	2020-05-12 16:04:02	投稿满 5 赞奖励
admin	100.00	2020-05-06 17:05:10	初投稿奖励！
admin	100.00	2020-05-06 17:05:13	支持！