文章总结： 作者通过对某985高校证书站点的班车查询接口进行抓包，发现参数my_station存在SQL注入；利用%0a脏数据绕过云WAF，再用1=1/ascii(user)的分母滞空技巧触发布尔差异，确认目标为MSSQL；随后借助left/right函数逐字符提取ascii值完成注入，最终提交中危漏洞并强调需在班车运行时段测试。 综合评分： 78 文章分类： WEB安全,渗透测试,漏洞分析,实战经验

某985证书站三重绕过挖掘SQL

原创

夜子

夜子安全Sec

2026年1月11日 21:52 广西

小生不才，愿得自身的一己之力能集齐证书18铜人。通过不断地深入学习到SQL注入时，发现自身在绕waf这方面有着众多的经验以及思路，大部分的证书站基本都是sql注入居多，这次的案例也是非常有意思的，该证书站有着很多限制，导致我考虑了众多SQL语句下，成功拿下该学校的中危漏洞，话不多说，来一起看看这波案例。

依旧通过微信的一些资产进行一个切入点，可以看到这边存在一个目的地和初始地的地址查询，一般这块区域可能存在sql注入，我们通过进行一个抓包的查询递进。

可以看到这个数据包中不存在任何传参点，没有用户控制的参数传递，我们直接忽略掉此数据包，下到另一个查询点。

这个页面有意思的点就是，他是个班车，你得在特地的地方包括特地时间才能会有该页面的数据包以及数据的传输，否则只有空页面返回并且不带任何的数据包传递。由于我写文章复现的时候已经是晚上了，所以已经不存在该班车的站点。只能说这个资产有点阴间，一般的师傅可能拿不下这个站点。

这是在工作时间段的班车的页面，该页面存在sql注入的数据包。

前期下，我们通过数据包中的my_station值进行一个注入，发现存在我们的常规判断，单引号报错404，双引号正常回显，如果有师傅不放心的话们可以在加到3个单引号报错和4个单引号，观看返回包的内容进行一个判断。

依旧常规的闭合，发现直接存在waf，看着有点像云waf。不清楚哪家的

通过脏数据，不断地去干扰waf判断，最终使得waf疲惫，直接插入一堆%0a 再加单引号 and ‘1’=’1,成功地闭合返回数据。自此我们成功地绕过了第一层的waf判断，接下来我们就美滋滋地去判断该数据库是什么类型的。

当我利用 and 1=2 或者or之类的进行判断布尔，发现页面始终是如上图一样，没有任何的变化。这样使得我们判断难上加难。最终我通过 and 1=1/0 使得一个布尔值的分母滞空，发现页面返回404，看来可以通过这种方式进行一个布尔的判断，但是我们现在还是不清楚是什么类型的数据库，接下来我通过一些特征函数进行判断，发现页面始终是404返回。

例如我使用length函数以及len函数，页面依旧404，这让我不得不想到是否存在函数过滤，常规的函数肯定是行不通的，什么延时包括截取字符串的函数都行不通，不管是冷门还是热门的延时函数全部过滤，过了一难又一难。从waf到页面判断再到函数过滤的绕过，这不得不让我火热了。最终，我通过该payload，成功使得页面有正常回显。看样子可能是mssql或者oracle，不过必须要存在另一对的布尔值才能返回正常否则404，进而可以排除oracle，只能是mssql数据库的特征了。

payload：and 1=1/ascii(user) and ‘1’=’1

由于大量的函数被过滤了，我只能通过right和left函数提取ascii再判断分母值，但这样只能提取出两个ascii值，接着我通过审核师傅的对话，也是了解该方法也是能通过的。

最终payload：

一堆%0a ‘ and 1=1/(ascii(right(user,1))-* and ‘1’=’1

一堆%0a ‘ and 1=1/(ascii(left(user,1))-*) and ‘1’=’1

成功拿下此证书站，该站点适合在阳间时间打，阴间时间挖掘的师傅可能就错过该漏洞点

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子《某985证书站三重绕过挖掘SQL》