记一次简单的EDU通杀挖掘

margin

记一次简单的EDU通杀挖掘

​
之前一直在研究webpack的问题（有兴趣可以看我之前的两篇文章），最近感觉自己webapck已经大成，就看了看别的漏洞，在TOP10里我毫不犹豫的选择了主攻注入。我通常都是边学边挖的，这篇记录一下挖到的一个小通杀，这篇文章中的注入虽然很简单但也给了我很大的动力
0x00 前言之前一直在研究webpack的问题（有兴趣可以看我之前的两篇文章），最近感觉自己webapck已经大成，就看了看别的漏洞，在TOP10里我毫不犹豫的选择了主攻注入。我通常都是边学边挖的，这篇记录一下挖到的一个小通杀，这篇文章中的注入虽然很简单但也给了我很大的动力

​

编辑
0x01 过程通杀挖掘TIPS：EDU有个开发商排行榜，拿下一个就是通杀

​

编辑
作为想上大分的人，快人一步开始打点，鹰图语法：web.body="xxxx公司"，经过一番打点，找到一个开发商不大也不算小，就是这个了

​

编辑
进去一家，登录界面，功能点目前看来只有“登录”

​

编辑
F12，想看一下会不会有前端的一些逻辑判断，可是第一眼就无了，都是第三方的库

​

编辑
想到在学注入，接下来就测了测注入（佛系测试）
第一步：账号admin，密码admin，显示账号不存在

​

编辑
第二步：账号admin'or'，密码admin'or'，显示的不一样了，感觉存在注入

​

编辑
第三步：账号admin"or"，密码admin"or"，看了看显示的页面和第一步一样，一定存在注入了，并且是单引号闭合

​

编辑
抓包sqlmap一波试试水，发现参数被加密了

​

编辑
之前学过一点JS逆向，Ctrl + Shift + F，搜索被加密的参数 - user1，找到了加密函数（呜呜这个逆向好简单，丝毫没有展示出我的逆向技术）

​

编辑
放到在线运行JS的平台看一下，确实和数据包里加密的一样

​

编辑
下面就是用python写sqlmap的插件，让sqlmap的payload也加密，然后看这个JS写的加密函数逻辑简单，就用python代码重写了一下（虽然不好看，能用就行 /摆烂）
JS与Python对比

​

编辑
加密的插件编写

​

编辑
sqlmap一把梭，成功！

​

编辑
​