eduSRC那些事儿-2（sql注入类+文件上传类）

本文对edusrc挖掘的部分漏洞进行整理，将案例脱敏后输出成文章，不包含0DAY/BYPASS的案例过程，仅对挖掘思路和方法进行相关讲解。

sql注入类

sql注入配合万能密钥进后台

在内网中扫描到网络运维资料管理系统，在登录账号位置加上单引号后报错，于是判断可能存在sql注入，

试着闭合后边sql语句，而使用注释则会失败（access数据库无注释符），最终在用户名处构造以下payload，

admin' or 1=1 or'

可以以系统管理员身份登录，直接泄露全校内网拓扑及资产信息，

可以到网上查找一些万能密钥的payload，然后对表单进行fuzz，有时间工具做不到的手工就可以办到。

搜索框注入

在edu站点sql注入类型中比较常见，要注意闭合，sqlserver数据库+asp/aspx居多。如：下列搜索框中输入单引号报错，

查版本，

2%' and 1=(select @@version) and '%'=' 1' and 1=(select @@version) --

查当前数据库，

2%' and 1=(select db_name()) and '%'=' 1' and 1=(select db_name()) --

查表名，

1%' and 1=(select top 1 name from sysobjects where xtype='U' ) and '%'=' 2' and 1=(select top 1 name from sysobjects where xtype='U' ) --

然后利用闭合配合注释去进行搜索框注入，

还要注意前端长度限制，如果注入语句无法输入，可以修改前端maxlength元素，

也可以保存请求包配合sqlmap的-r参数进行注入，

文件上传类

直接文件上传

在利用fofa查找C段资产时，发现目标存在某登录系统，直接使用admin/123456弱口令进后台管理系统，在相关功能点存在文件上传，没有任何过滤，

上传webshell后直接获取了管理员权限，

注意寻找各页面的上传点，上传webshell时尽量选择有流量加密的，如：冰蝎、哥斯拉等。

配合代码逻辑漏洞

通过社工获取了某位学姐的学号、身份证号，利用该信息重置了报修系统的密码。在报修反馈页面发现可以上传相关的图片，然后上传一个图片马进行抓包（这里是后期补的图，发现不需要登录也可以上传文件），这时尝试将上传的图片马更改名字成：

1.aspx.jpg

文件检测过滤了脚本格式后缀也不存在解析漏洞，而在服务器上传时取的是第一个点的后缀，所以成功上传了php文件。发现成功上传了脚本文件，连接webshell，

查看是system权限，

然后上传Cobalt Strike的payload并运行，用Mimikatz获取密码，

成功读取密码，

然后上传了一个aspx大马（有通过注册表查看rdp端口的功能），发现管理员把3389端口改成了1111，连接即可登录，

并且在桌面找到缴费系统的内网IP，尝试使用Mimikatz获取的密码进行登录，成功登录。因为管理员之前没关闭后台系统，所以直接获取了web缴费系统管理员权限。