文章总结： 本文记录作者参与省级护网行动的实战经验，详细描述四个站点的渗透过程：通过SQL注入、WAF绕过、heapdump分析等手段获取数据库信息及未授权访问，但部分成果因规则限制未得分。文章提供具体漏洞利用方法及工具使用，同时强调合规测试的重要性。 综合评分： 82 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析,红队

记一次黑奴省级护网汇总

原创

夜子 夜子

夜子安全Sec

2026年5月19日 09:42 广西

在小说阅读器读本章

去阅读

郑重声明

本公众号文章源自作者日常积累及授权转载，未经许可严禁转载，转载需联系开白。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者及本号无关 。

在五月初，参加到了一个某省的护网。在以往的市护以及省护的经验下，这次的打点比以往更加顺利一些。废话不多说，开始项目的复现。

一开始还没准备，通过某个朋友发给我了一个打点名单。初步观看了一下，有些资产确实有搞头，名单里面大约400多个资产，不过很多站点都需要身份认证，以至于很难得到webshell的切入点。不过还是可以打出不少的漏洞点的。

站点一：

通过一些信息收集的测绘，成功在微信服务号上找到一些功能点，通过关联卡片获取一个身份后进入

非常简陋的查询点，直接丢进sqlmap跑一遍即可获取到数据库的信息，也是没啥难度

将host放入到web网站中得到了一个登录点，通过弱口令爆破无果，将sqlmap获取的数据库进行信息获取，得到账号密码进入后台

后面通过端口扫描，发现了大量的端口，有个3389，爆破rdp协议发现无果，后续访问81和82端口发现是不同的后台。通过弱口令成功进入到该后台内。但后台无传马点，并且手册里写web管理员权限与主机权限不可兼得，所以getshell等于没get（主要是得分都是一样的）

接着我们在进行访问8081端口，发现存在一个系统的登录点，并且登录框存在SQL注入，继续丢到sqlmap中获取到数据库的信息

最后收了我的一个dba的SQL注入，但是裁判说我的端口扫描的资产超出范围内了导致无法得分

站点二：

从打点的名单发现了该系统，初步观看系统没有任何进攻点，并且需要登录学生账号进行使用。

但该系统存在搜索框，尝试有无搜索框注入点.从数据包中发现了一个java开发框架经常犯的一个错误，排序注入。由于java语言的强类型，会导致很多的注入点会被预编译，导致很难注入，这个时候我们可以将矛头指向搜索框的模糊查询以及排序注入。

当我美滋滋的尝试注入时，发现经典的雷池waf给我拦截了。那么只能绕过了前期发现对exp，locate，以及current_user不拦截，但是难以获取到全部信息。一开始我插入脏数据，发现还是被拦截，后续我再插了一堆脏数据并且将逻辑函数进行分割and以及SQLpayload才不会导致waf的拦截，初步可以判断的出是and与sql语句相邻太近造成的waf识别响应。最后成功地得出了数据库的信息。

不过我打一半的时候，把资产给拉到内网vpn了，注入出库名和用户名裁判也不认。申诉了两天给的结果.最后也没给我分

站点三：

通过服务号发现了该资产，一个小学校吧。web暴露的资产面非常少。但是从服务号入手发现攻击点十分多。发现存在学生登录，但是发现无果，需要在数据库进行匹对账号才能进行一个验证码的发送，所以说还是要有个账号。

通过了burp的apikit插件获取对目标资产进行探测，发现识别了该资产springboot开放actuator目录下的heapdump文件以及env环境配置信息等

通过JDumpSpider-1.1-SNAPSHOT-full工具成功解析出了heapdump文件，并且通过分析找到了数据库的账号密码泄露以及一些Redis,druid路径，swagger接口文档，环境变量等。

通过swagger的/v2/api-docs接口文档，将api路径复制下来再进行apikit访问。拼接接口路径，存在未授权，并且通过修改page和size参数可以看到total参数存在6708+的身份证，姓名手机号三要素等信息

通过收集的手机号，进行登录账号内，存在登录绕过逻辑漏洞。我们抓包登录，将拦截返回包将code参数修改成0，可以进入学生账号内，可以通过该方法，接管全校学生的账号。

后面看了手册信息泄露最低标准50w，并且前端绕过不算得分点，这段直接被白嫖了。

既然存在前端验证，试试看看能不能进行一个短信验证码爆破登录，我通过未授权的swagger接口进行访问老师的信息获取手机号。发现确实存在爆破4位数登录，这边我不知道几位数瞎猫碰到死耗子了。

后续我又访问了druid路径得到了未授权进入，druid后台没啥东西。不过能混给个web普通用户的分。

站点四：

通过hunter鹰图平台的备案号查询找到了某个校友的后台，看样子类似若依二改的框架。通过全局的js查找发现了账号密码。即可进入后台

一般若依框架极大性可能存在druid，访问登录页面直接某池waf给拦截了，无果只能进后台看看有无漏洞点，若依nday等。

通过找到了他这边的某后勤存在一些openid的注入，既然知道是某池waf，简单的脏数据直接干扰，后续写个tamper脚本直接注入出数据库的信息以及dba的权限，很可惜是false。这点打了几百分

各位师傅觉得文章有意思，记得设置为星标哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子 夜子《记一次黑奴省级护网汇总》