文章总结： 本文分享了某证书站的SQL注入挖掘与WAF绕过思路。作者针对被腾讯云WAF拦截的注入点，利用脏数据洪泛技术使WAF疲惫，成功回显数据库用户信息。同时利用GTID_SUBSET函数在报错页面进行注入绕过。最终提交高危及中危漏洞并获取证书。 综合评分： 78 文章分类： 渗透测试,WEB安全,SRC活动,漏洞分析,实战经验

某证书站绕过思路

原创

夜子

夜子安全Sec

2025年12月23日 22:58 广西

郑重声明

本公众号文章源自作者日常积累及授权转载，未经许可严禁转载，转载需联系开白。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者及本号无关 。

今天上班刚好看见的edusrc新证书上线，摸鱼时间准备搞一下，通过基佬的消息成功得到了统一账号，马上进行一个挖掘。可以看到门户网站的功能点非常之多，我们这边仔细的挨个点击进入到各个系统中进行一个测试，可以先找找自己比较拿手的漏洞，没有的话再去尝试挖掘一些其他类型的漏洞。

通过寻找资产，发现了一个php的网站，并且发现了有查询的功能点，那无需多言，直接拿SQL去插它的网站里面。发现利用一个单引号报错，两个单引号正常回显的原则，初步判断存在sql注入点，并且是php站点，熟练的师傅肯定一眼看出是MySQL数据库，所以我们先用特定的payload去插它

我c了，经典的腾讯云waf，看着应该是。绕过太多waf也记不清是哪个了，看来经典的payload用不了了，又得去思考去绕waf，黑客嘉豪应声倒地。

从多年的绕sqlwaf的经验来说，我们通常可以利用一些冷门函数或者一些奇葩sql的语法去插它，让他感觉不会这么难受。看样子估计没这么简单，那只能动用另一个招式了，用脏数据疯狂插它。通过构造多个数据使其让他的waf疲惫。再出其不意的去插入恶意数据，成功造成函数可以进行正常回显，可以看到有内容成功回显。后续我们再利用session_user函数去调取用户长度即可提交报告

第一个案例是争对布尔注入显示，当我找到第二个功能点时，该功能点没有完善好，会造成请求服务错误，但是奇葩的是他还会把数据包放到后端去，一个单引号直接造成数据库的语法错误。一般有报错页面或者报错语句，我不说打保票，80%都是可以直接绕过，像他这边有waf的话就可以直接无视，直接上肛塞payload

payload：’+and+GTID_SUBSET(session_user(),1)–+

成功拿下两个SQL，一中危和高危。拿下证书

各位师傅觉得文章有意思，记得设置为星标哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子《某证书站绕过思路》