奇安信攻防社区-注入起手联想启发Web收菜之旅

注入起手联想启发Web收菜之旅

SRC不慎打偏忽略案例，备案企业虽然是子公司但控股资产不足该SRC收录资产标准，后续回望报告也发现不算复杂真在收取范围的话也可能被其他师傅交过，故发出整个过程进行分享

> `SRC`不慎打偏忽略案例，备案企业虽然是子公司但控股资产不足该`SRC`收录资产标准，后续回望报告也发现太过简单真在收取范围的话也可能被其他师傅交过，故发出整个过程进行分享

**未经同意请勿转载搬运**

### Order By 注入起手

信息收集小程序正常浏览功能点，捕获展示列表数据包 `orderby`排序处往往是`SQL`注入重灾区，因为此语法不能被预编译需要二次写过滤语句，没有经验的开发则会忽视这一部分从而让我们白帽子有机可乘，单引号报错

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425201-6756d680-c974-4833-ad12-1d29039af8fc.png "null")

`order`注入可控列名的话后面是可以直接衔接报错语句进行判断的,代码层无函数过滤直接就出数据了,库名为`bsd_operate`

```php
orderByColumn=extractvalue(1,concat('~',(database())))
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425287-18699fd5-1cff-496d-be6d-2cbdd8bec0c2.png "null")

后续尝试手注发现`exp` 函数无法使用,无法使用怎么样都是正常回显,使用算数运算符`>;`;应该是`tomcat`解析问题导致无法识别

```php
if(length(schema())>8,exp(1),1) 返回正常
if(1=2,1,exp(999))  无法布尔报错
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425369-1a8c95fb-4f7a-44e6-b14d-c54ea86469bd.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425436-63ea94af-cee6-4c02-ada5-5ebbdde814b2.png "null")

那么改一下手注`payload`,布尔判断变成`sleep` 算数运算符变成`=` ,因为已经知道了库名使用手注验证一下是否正确，设置两个`payload`位使用集束炸弹成功得出库名和上文一致

```php
orderByColumn=if(substr(database(), 4 ,1)=' _ ',sleep(5),1)
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425576-eb60fbdf-2614-43e8-b82a-b6c2b7b3854f.png "null")

后续小程序只发现这一个注入，其他功能点均使用`JWT`做鉴权没有其他逻辑漏洞，既然小程序都这么脆弱那么继续渗透`web`资产

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425634-8531f987-b386-4c4c-8bff-99a80f498a5f.png "null")

### Web 401 权限校验

没有找到小程序对应后台故正常测试资产，收集到一处前后的分离站点列出诸多接口，按照以为常规的测试手段对接口进行`Fuzz`，只泄露少量系统信息但大部分还是`401`鉴权，对接口使用资源后缀符和`Bypass403`插件均无法绕过

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425697-f6515d7f-244e-42b2-82e5-acaf264f49cb.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425754-719b9d71-8e4b-4f8c-a992-8d8140008410.png "null")

前后端分离通常会有`swagger`文件泄露通过被动扫描`Onescan` `TsojanScan` 插件发现一处接口下存在多个`swagger`提取后验证存活发现只有个别无法访问

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425815-96b46b0a-3cbe-4c57-849f-bb60b99f63a7.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425919-46d27147-7f11-4351-88e9-0de074715edd.png "null")

后续是枯燥的接口测试，通过插件字段拼接参数去访问大量的接口，多数存在权限验证好在`Swasgger`文档多总会有疏漏接口

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103425979-ad23898e-8338-4ac4-9f04-6a23a33259c2.png "null")

经过长达二年半的测试发现了不被鉴权的`Swagger`文档，其中一个接口回显公民信息依旧祖传页码参数判断最后范围数据量有`110w` 信息，但也仅仅只有这一个接口存在信息泄露，看着这种无法进一步利用的接口着实心痛于是一个大胆的想法出现；我拿到这么多文档后端服务地址是一致的那么有没有可能获取到某个可以注册系统的`token`就可以实现鉴权字段复用或者是其中某个`Swagger`所对应的系统可以使用呢

```php
/educational/face/page/photo??pageNo=1132&amp;pageSize=100
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426037-6d603de3-0d9e-4956-b35f-9a8b291dd930.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426091-48f620a3-7ae5-4816-8fe0-97de480b383f.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426175-ba04cab6-30ff-4256-88ea-1a5f04b611e7.png "null")

### 寻找普通用户Token

首先我尝试的是小程序`token` 发现无法使用，后寻找`web`允许注册业务；前期信息收集中我就已发现个别业务平台允许注册登录猜测其中可能就存在普通用户字段鉴权字段可以提供给此后端地址使用情况，如果能在测试中直接定位到后端地址的业务那才是最好的。

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426237-9963162e-7700-4352-864e-a2b9cf65619d.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426321-7749a055-ce87-45ec-8110-403c4914195c.png "null")

测试前先把这么多的`swagger`接口进行提取，文档对应的是不同的系统前置的接口均不同如果不进行处理直接`Intruder`是不行的

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426382-0a2ecab0-6a41-4647-95ae-6b3303fd9571.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426448-b62b8841-dded-435a-b37a-4618b2dbb0ff.png "null")

经过处理得到全部的`swagger`接口，先尝试正常的`Intruder`后续如果发现可用`token`再回归`Swagger`文档本身参数进行拼接测试

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426511-5169c11a-b9d5-429a-8dbc-c385ccc31b74.png "null")

把能注册的地方全部注册拿下鉴权字段添加到数据体中发包替换，好在可以注册的点不算特别多，时间并没有花费太久终于发现一个正常业务注册一个普通用户`token`可以给大部分接口使用，少量接口仍缺少凭证

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426581-bab0812e-29b6-49ac-bf55-7f711eafbdec.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426637-49b6773b-60c0-47f0-bbdf-02ebeea58090.png "null")

### 接口收菜

后续就是通过各种姿势的收菜过程了，利用得到的信息二次利用到其他系统平台尝试再次突破等等。

```php
GET
PSOT {}
?pageNo=60&amp;pageSize=11
......

```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426705-a7991720-9545-4778-bf69-d60fa353b46b.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426787-1cf77c44-185e-4b64-b9b1-7f1ac69996a7.png "null")

超管手机号泄露和内部系统人员信息泄露，后续再去定位`xxx`系统`xxx`平台爆破即可

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426844-e2e4f183-0e7b-43fa-b045-12bc5f364052.png "null")

通过接口信息成功登录进一处系统，从小程序入口点秉承漏洞不会单独出现的理念最终挖掘多个漏洞

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770103426912-34ea271a-ddf3-45a4-a7df-3b67cb2d7159.png "null")

发表于 2026-03-27 10:01:47
阅读 ( 1212 )
分类：渗透测试

注入起手联想启发Web收菜之旅

0 条评论