文章总结： 该文档记录某商城前台SQL注入漏洞的审计过程。作者借助AI分析框架与鉴权，发现IgnoreAuth注解可绕过JWT鉴权。跟踪代码发现Mybatis使用非预编译且order参数未做白名单校验，攻击者利用GTID_SUBSET等函数绕过黑名单过滤，成功实现时间盲注。文档后半部分为代码审计培训广告。 综合评分： 25 文章分类： 代码审计,漏洞分析,软文广告,安全培训,WEB安全

某商城存在前台注入漏洞审计-学员投稿

原创

知名小朋友 知名小朋友

进击安全

2026年5月10日 10:40 北京

在小说阅读器读本章

去阅读

免责申明 本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

一、前言

跟着小朋友老师学了有一段时间的代码审计了，今天给小朋友老师投稿一个商城系统的前台SQL注入漏洞，第一次出货JAVA源码的漏洞，记录一下。

二、框架\鉴权分析

正常这种东西一般直接看就可以看出来，但是这里我嫌比较麻烦，直接让AI赋能，让他帮我进行分析框架、鉴权、认证这些信息即可。

（这里个人感觉，直接让他分析就行，针对这种AI赋能还是比较可以的，但是让他进行审计有一个痛点，老偷懒，和总有幻觉，所以笔者这里一般选择直接让AI完成前置步骤，后面的漏洞配合AI审计）

这里ma比较厚了，哈哈哈，这里可以看到两台认证系统，一个用来认证移动端API一个是后台的，我们这里漏洞为移动端API进行查看对应的鉴权方式，继续拷打AI。

这里可以看到是jwt进行做权限划分以及验证，同时使用拦截器进行拦截，查看拦截起。

这里可以看到拦截/app下的全部路径，但是排除

"/app/wx/mp/portal/*""/app/wx/ma/portal/*""/app/wx/menu/create"

上述三个路径，看下具体如何拦截的。

可以看到这里进行判断首先进行判断是否存在@IgnoreAuth注解，存在的话也可以直接进行访问，那么我们思路可以改变为除了进行判断上述白名单的不鉴权路径还可以进行判断是否存在注解@IgnoreAuth，存在的话进行直接放行true不鉴权。

同时这里可以看到是jwt鉴权，jwt当中只是进行封装了Userid，同时对应的密钥为硬编码，但是这里不重要，核心不在鉴权绕过，我们目前已经知道

"/app/wx/mp/portal/*""/app/wx/ma/portal/*""/app/wx/menu/create"存在@IgnoreAuth注解

都不会进行鉴权处理，进行分析漏洞。

二、SQL注入漏洞分析

![](https://mmbiz.qpic.cn/mmbiz_png/Dfrm5V3o6kQ30cdbGlGh1pEkB3GvDqBN95ib49YCDsE1UXKNZpnwiageqibs66icXFy7ILMLCiaU3brzCy286CA8Psrqia0FfPjE07d9aZ9mLlHl0/640?wx_fmt=png&from=appmsg&watermark=1#imgIndex=6)

在项目当中发现使用了mybatis处理sql语句，尝试查询${}非预编译的方式执行。

同时在这里发现存在非预编译手法，进行反向跟踪查询。

继续进行跟踪。

最终跟入发现。

order 参数来自客户端，当 sort=price 或 sort=sell 时，order参数就可以正常由用户传递，未做白名单校验，order 直接进入后续 MyBatis 查询。

同时存在非鉴权注解，可以直接进行前台访问。

但是在初始化的时候还进行加载了一个SQL注入的过滤，但是这个过滤比较简单，使用黑名单进行匹配，同时部分函数未完全过滤，例如if、sleep等函数。

二、漏洞验证

针对代码进行构造数据包，尝试验证。

![](https://mmbiz.qpic.cn/mmbiz_png/Dfrm5V3o6kTkZ4iaKXWpLCNXEWicn0Yff2qz1gaicOa8bFg6Cc6kzYdCstICrtgzGibYf08ibPa3eVqNVZCcEcUBAFlqdXYcscHajBIrovG4LFHE/640?wx_fmt=png&from=appmsg&watermark=1#imgIndex=12)

可以看到成功延迟。

同时注入版本等可平替函数payload更改为：

sort=price&order=desc,GTID_SUBSET(@@version,1)&page=1&size=1

代码审计培训介绍&广告区域

二、第五期课程

![](https://mmbiz.qpic.cn/sz_mmbiz_png/dJGuszYr5iaRGiaZURAxJAROibCh1sjaZictcbC4iasuuOgCMQSDSwrG5Wfrx2QgfvKx8icDhm0gIia8fN6mThehEK8ww/640?from=appmsg&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=121)

第五期课程仍然是以代码审计为主，本次课程还是为三个语言的代码审计0-1讲解，目的为帮助学员完成0-1+1的白盒（代码审计）漏洞挖掘，并且在出货的基础上再+1去出高质量的漏洞（例如组合拳RCE、前台相关漏洞等）。

1

课程周期

开课周期预计到：三个月左右（直播+录播）

课程大纲

本次课程分为PHP、JAVA、NET代码审计为直播+录播，为了照顾一些基础较为薄弱的师傅新增基础~技巧~番外（录播课程）。

01

PHP&JAVA&NET代码审计 (直播+录播)

之前课程大纲主要为xxx实战案例，本次课程大纲着重体现思路方向，并非取消了实战部分，实战部分之多不减。

PHP课程目录

✅  第一节课：多框架初识&路由认识&参数传递

✅  第二节课：多框架&鉴权分析&认证与鉴权&鉴权方式

✅  第三节课：多框架&常见漏洞函数&回显&非回显

✅  第四节课：注入漏洞&常见位置&实战审计注入类漏洞

✅  第五节课：前台RCE漏洞审计&漏洞案例技巧讲解

✅  第六节课：门户网站CMS&网络设备&审计经验讲解

✅  第七节课：多框架&鉴权对抗&权限绕过技巧&案例分析

✅  第八节课：组合拳RCE漏洞分析&漏洞组合拳利用&案例

✅  第九节课：PHP下反序列化漏洞&魔术方法&pop链分析

✅  第十节课：PHP下反序列化漏洞实战&phar协议RCE案例

JAVA课程目录

✅  第一节课：Servlet&Spring Boot&Spring MVC&Struts2

✅  第二节课：多框架下&拦截器&认证鉴权&组件鉴权分析

✅  第三节课：多框架下&权限绕过&鉴权对抗&案例分析

✅  第四节课：常见漏洞函数&案例分析&审计技巧

✅  第五节课：前台漏洞审计&组合拳rce漏洞&技巧&案例

✅  第六节课：反序列化&CC链利用&反序列化漏洞利用

✅  第七节课：Ognl&SpEl&EL表达式注入&漏洞案例

✅  第八节课：内存马简介&内存马原理分析&内存马注入方式

✅  第九节课：RMI&JNDI注入&JNDI注入漏洞利用&案例

✅  第十节课：组件漏洞&shiro&fastjson&log4j分析&利用

.NET课程目录

✅  第一节课：初识.NET&Web From & MVC架构框架分析

✅  第二节课：Web From&MVC框架&鉴权分析&认证方式

✅  第三节课：多框架下&鉴权对抗&权限绕过分析&案例

✅  第四节课：注入漏洞分析&文件操作类漏洞&实战分析

✅  第五节课：常见漏洞位置&前台漏洞审计&漏洞案例讲解

✅  第六节课：组合拳RCE漏洞分析&组合拳RCE案例讲解

✅  第七节课：.NET反序列化漏洞初识&反序列化漏洞原理

✅  第八节课：.NET安全反序列化链&反序列化触发场景

✅  第九节课：.NET反序列化漏洞案例&反序列化漏洞分析

02

基础~技巧~番外（录播)

该篇章为长期更新

1

基础篇章

1、由于之前上课时部分师傅存在一定基础，刚开始的课程部分师傅认为自己可以跟的上等问题，导致时间的浪费。

2、同时有一定的师傅存在无法搭建源码，以及软件下载等问题，于是将这种基础问题，统一归纳为基础篇章，供师傅们学习，节省师傅们时间提升学习效率及课程质量

3、同时面对部分学员频繁提出的一些问题，针对该问题同样会进行解答，并且进行录制上传至基础篇章中。

2

技巧篇章

1、随着自己技术的进步也了解到了一些新型的技巧或者手法，例如sql注入的某一个技巧，但是重新讲解又浪费大量时间，特地新增了技巧篇章，将单独的技巧进行讲解。

3

番外篇章

1、自己在第四期讲过一些逆向相关，并且还存在相关的一些好的案例，得到了挺多师傅的认可，例如某APP接管存储桶等案例，于是之后在有好的案例将进行上传更新。

课程思维导图

![](https://mmbiz.qpic.cn/mmbiz_png/Dfrm5V3o6kSgWm6ialvokAwgDaG6JlUOSkOLWrbn1CazibFJgIt8BCmD0N67SGdeqVeKVgrStOeQRGrNfjib1jv6eUKQHoBbBt6Eka9JmWGiaBs/640?wx_fmt=png&from=appmsg&watermark=1&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=122)

常见疑问&课程讲解

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=123)

第五期课程收费多少？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=124)

本次课程收费仍然是1688，并且还是承诺一次报名后续不再进行任何二次收费保障（包含内部平台，以及后续推出一系列内容均可观看）。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=125)

什么时间段上课，上课周期是多长时间？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=126)

第五期课程【直播+录播】上课周期为三个月，一般集中在周五六日这三天，一周保持2～3节课，每节课1小时左右。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=127)

作为学员，我们都有哪些权益？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=128)

首先最关键的就是课程内容是可以一直学习的，同时内部报告平台也可进行观看，答疑是不限时长，不限类型方向，任何方向均可，再次同时代码审计最关键的就是源码，源码&课件&视频都是给兄弟们配套的，当然无聊找小朋友聊天一起打游戏也可以哦。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=129)

学完之后可以达到什么水平？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=130)

学完之后可以达到可以进行独立审计的水平，在面对php、JAVA、NET主流语言的源码，可以进行独立审计，验证漏洞，对于一些JAVA安全内容例如：反序列化，内存马等也有一定的理解，可以进行打反序列化漏洞、注入内存马等操作，同时PHP的反序列化、pop链，phar协议等利用也有一定理解，且此类漏洞导致RCE均有案例。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=131)

0基础可以学吗？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=132)

1、这是大家最常问的一个问题，0基础是可以的，我的代码审计课程一直秉持着帮助大家完成代码审计0-1的目标，同时往期（第四期）课程新增了进阶课，其目的也是帮助大家完成0-1出洞到0-1出有质量的漏洞。

2、另外考虑到有的学员基础较为薄弱，本期同时也开了番外篇&基础篇，师傅们可以观看这块分区课程内容，此类分块课程目的就是为协助到一些基础比较薄弱的师傅们。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=133)

是那种读PPT拿着靶场讲解吗？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=134)

不会，课程均使用一些0Day&1Day&Nday优质漏洞来进行授课，且本期案例均为从简-难漏洞案例，深度体验代码审计当中的难易区分，完全杜绝靶场以及去读PPT的，从培训第一期开始到现在，基本为上课开始看几眼课件，让学员熟悉这节课的大概内容等信息，然后直接实操到下课，这一点也是我干培训五期以来一直使用的授课方式。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=135)

是否有简历修改&内推等福利？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=136)

有的兄弟，有的，不介意小朋友的指导简历这类的话，随时欢迎大家来骚扰我。

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xblgvfap0kicWhU0Yu7COibQdbBuJvJL4V8ZibyDFtoZ1DjX4PlAzgHXV1Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=137)

为什么你不新增AI方向的内容？

![](https://mmbiz.qpic.cn/mmbiz_png/TN05MmJLxMpA2RBXPMibJ9EsZG9K2Y9Xbn64xklaibRPwn8iadq2gzV1us6KUbIGdxlicMkhBo7loMRbVQ5bDnPZqA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=138)

目前我个人认为AI可以帮助我们提升很大的效率，但是前提是AI的使用者本身要懂这个技术，才可以利用AI来降低该技术门槛，提升效率，完全自动化目前感觉还是无法做到，包括课程当中也会使用AI会顺带着给师傅讲了如何用ai来提升效率，同时如果反馈不会使用的师傅较多，会考虑后续在基础～技巧～番外来更新该方向内容。

联系方式

![](https://mmbiz.qpic.cn/sz_mmbiz_png/Dfrm5V3o6kTJN3ZARg7AMA1vic01djqoicHvgvPf9FJu5AHRFB3dHxHWcGxiak9ECWBcDGQh2OmvtFjPia9ZzNvA9JibWaLOI5pazCXIpO8jLPicU/640?wx_fmt=png&watermark=1&wxfrom=5&wx_lazy=1&tp=webp#imgIndex=23)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击安全 知名小朋友 知名小朋友《某商城存在前台注入漏洞审计-学员投稿》