EDU SRC(原创) 漏洞挖掘终极武器库:10条 FOFA 搜索语法-已斩获高危/严重漏洞

📅 2026/7/8 6:00:25
EDU SRC(原创) 漏洞挖掘终极武器库:10条 FOFA 搜索语法-已斩获高危/严重漏洞
EDU SRC 漏洞挖掘FOFA 精准搜索语法库 实战方法论原创作者按本文总结了我在 EDU SRC 漏洞挖掘实战中总结的一套方法论包含10 条 FOFA 精准搜索语法覆盖报名系统、后台管理、SQL 注入、文件上传、敏感信息泄露等 8 大攻击面。配合黄冈师范学院实战案例形成从「目标发现 → 漏洞验证 → 报告提交」的完整武器库。适合人群EDU SRC 白帽子、CTF Web 方向学习者、安全专业在校生。 目录 原创1. 方法论EDU SRC 挖洞 4 条铁律2. FOFA 语法库10 条按优先级分级3. 攻击面-漏洞类型映射表4. 实战流程 SOP5. 面试加分嵩山实验班自我陈述框架0. 战绩速览黄冈师范学院双杀|:—|:—||漏洞1| Time-based SQL 盲注xing_ming字段SLEEP(5)验证 ||漏洞2| 任意文件上传3 个图片字段全中GIF 文件头绕过 getShell ||发现时间| 2026-07-06 至 07-07 ||漏洞等级| 高危 × 2 |核心启示报名/注册表单是 EDU 系统的「金矿」——拼音字段 无验证码 多文件上传点 老旧技术栈几乎每次必出洞。1. 方法论EDU SRC 挖洞 4 条铁律铁律 1报名系统 金矿拼音字段xing_ming、shenfenzheng、zhuanye这类变量名意味着开发者把参数直接拼进 SQL连参数化查询的意识都没有无验证码报名系统面向大量考生验证码影响效率很多直接就砍掉了 →重放攻击无阻力多文件上传点一寸照、身份证正反面、学历证书……每个字段都是潜在上传入口一个都不能放过铁律 2排除 985/211专打普通本科 专科理由985/211 有专门的安全团队或外包安服系统更新频繁中危以上漏洞少反例专科/职高/独立学院系统外包后无人维护一堆 N 年老洞经济账同样时间投入普通本科出洞率是 985 的 3-5 倍铁律 3一个请求能复现 复杂条件链SRC 审核看的是「可复现性」和「危害」SQL 注入一个SLEEP就够文件上传一个 GIF getshell 就够不用刻意追求 RCE 链直球最有效铁律 4报告先行不等截图漏洞复现后立刻生成 docx 结构化报告附 Python 自动化验证脚本截图能补就补不能补先交报告占坑防止站点突然下线 / 别人抢交2. FOFA 语法库25 条按优先级分级使用提示每条语法独立在 FOFA 网页端搜索导出 CSV结果量 500 时末尾加 after2025-01-01限定活跃站点免费账号每天有限额建议分天执行先搜 P0 和 P1 P0 级金矿优先级必搜出洞率最高语法 1报名系统 文件上传host.edu.cn title报名 body上传攻击向量文件上传 → GIF 头绕过 → getshell命中特征自考报名、成教报名、竞赛报名、夏令营报名出洞率⭐⭐⭐⭐⭐语法 2注册系统 上传host.edu.cn title注册 body上传 bodyform攻击向量同语法 1注册表单更常见覆盖面更广命中特征会议注册、活动注册、实验室预约语法 3报名系统全量不限上传host.edu.cn (title在线报名 || title网上报名 || title考试报名 || title招生报名) bodyform攻击向量SQLi姓名/身份证号字段、XSS、逻辑漏洞命中特征几乎所有高校都有量大管饱语法 4身份证号查询入口host.edu.cn body身份证 (body查询 || body搜索) bodysubmit攻击向量SQL 注入时间盲注优先身份证 18 位等于 18 个注入点备注成绩查询、录取查询、证书查询都走这个模式语法 5老 ASP 动态参数host.edu.cn body.asp?id after2024-01-01攻击向量SQL 注入ASP Access 联合查询天堂备注edu 站点 ASP 比例远超互联网平均且几乎没做过安全加固 P1 级高优先级很可能出洞语法 6后台管理入口host.edu.cn (title管理后台 || title后台管理 || title管理员登录) bodypassword攻击向量弱口令、未授权访问、SQLi命中特征OA 系统、CMS 后台、实验室管理系统语法 7通用后台不限 titlehost.edu.cn body用户名 body密码 body验证码 (body.asp || body.php || body.jsp)攻击向量弱口令爆破admin/admin123、验证码绕过备注比语法 6 覆盖面大 3 倍但需要人工筛选语法 8文件上传端点host.edu.cn bodymultipart/form-data (bodyupload || body上传文件 || body选择文件)攻击向量任意文件上传测.gif.php/.PhP/.phtml/.pHp5备注不要只测一个字段表单里所有 file input 全测语法 9搜索功能 动态参数host.edu.cn (body?keyword || body?search || body?key) bodysubmit攻击向量SQLi、反射型 XSS命中特征通知公告搜索、图书馆检索、论文查询语法 10文件下载/查看端点host.edu.cn (body?file || body?path || bodydownload? || body?filename) body.pdf攻击向量任意文件读取../../etc/passwd、路径穿越危害配置文件、数据库连接串、源码泄露3. 攻击面-漏洞类型映射表攻击面对应语法首选漏洞类型备用漏洞类型报名/注册系统#1, #2, #3文件上传 getshellSQLi、逻辑漏洞信息查询系统#4, #9SQL 盲注反射型 XSS后台管理系统#6, #7弱口令未授权访问、SQLi文件上传功能#1, #8, #16任意文件上传文件大小 DoS文件下载功能#10任意文件读取路径穿越配置文件/源码#11, #12, #15信息泄露凭据窃取API 接口#13, #23, #24未授权访问CORS 漏洞框架/中间件#19, #20, #21, #22已知 RCE弱口令短信接口#25短信轰炸逻辑绕过4. 实战流程 SOP┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ FOFA │ → │ 批量 │ → │ 漏洞 │ → │ 报告 │ → │ 提交 │ │ 搜索 │ │ 筛选 │ │ 验证 │ │ 生成 │ │ SRC │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ └──────────┘Step 1FOFA 搜索约 10 min按 P0 → P1 → P2 → P3 顺序执行 25 条语法每条搜完导出 CSV至少保留 host、title、server、ip 四列Step 2批量筛选约 15 min合并 CSV去重人工剔除985/211、纯静态站无 form/input/button、明显测试站test/demo/dev优先级排序报名系统 后台 查询 其他Step 3漏洞验证每条目标 10-30 minSQLi 优先 AND SLEEP(5)--测所有输入字段上传优先GIF89a 头 双扩展名所有 file input 全测弱口令admin/admin123、test/123456、系统默认密码未授权直接访问后台 URL不登录看能不能进Step 4报告生成docx 结构化报告基本信息 → 漏洞描述 → 复现步骤 → 危害 → 修复建议附带 Python 自动化验证脚本每个复现步骤标记【截图点】 操作说明Step 5提交补天 / 教育漏洞平台 / 漏洞盒子 → 看哪个平台收同一天内的漏洞可以合并提交同一系统报告 脚本优先提交不等截图技术深度展示硬实力在漏洞验证环节我针对不同场景准备了不同武器SQL 注入优先采用时间盲注SLEEP(N)因为教育网络延迟大布尔盲注容易被误判文件上传使用 GIF89a 魔术头 双扩展名.gif.php 大小写绕过.PhP/.phtml三重组合我建立了 25 条 FOFA 精准搜索语法按 P0-P3 优先级分层覆盖 8 大攻击面我还把整个过程写成了完整的漏洞复现报告包含 Python 自动化验证脚本确保审核人员可以一键复现。附录常用绕过技术速查文件上传绕过绕过方式Payload双扩展名shell.gif.php大小写混合shell.PhP、shell.pHp5空格绕过shell.php末尾空格点号绕过shell.php.末尾点号Windows 流shell.php::$DATA.htaccess上传.htaccess让 Apache 解析.gif为 PHP双写shell.pphphp被过滤一次后还剩.phpSQL 注入绕过绕过方式Payload空格过滤/**/或%0a代替空格注释符过滤AND 11不用注释符直接闭合等号过滤AND 1 LIKE 1代替AND 11UNION 过滤双写UNIUNIONONSLEEP 过滤BENCHMARK(5000000,MD5(a))代替时间盲注网络延迟大SLEEP 设 5-10 秒不用默认的 1-2 秒写在最后本文的 25 条 FOFA 语法和全套方法论全部来自真实 EDU SRC 漏洞挖掘实战验证。安全学习没有捷径但可以有套路。希望这份武器库能帮到你。如果你也是 EDU SRC 白帽子欢迎交流心得。如果你正准备面试嵩山实验班第 5 节自我陈述框架直接抄作业 本文首发于 CSDN | 作者RMA | 2026 年 7 月