一次edu站点从前台sql注入到后台rce

发布于 作者:

一次edu站点从前台sql注入到后台rce

原创 十二 起凡安全 2025-05-12 09:19

前台sql注入

这个网站访问
http://xxxx/lab/Login/LoginB.aspx是下面这样的

访问http://xxxx/MIC/Login/LoginB.aspx则是下面这样,这个姓名处存在sql注入

抓包,测试payload:
AND+IIF(1=1,’a’,1/0)=’a

条件改为1=2则返回500,标准的盲注

这里可以直接
构造一下万能密码,注意前面要是真实的用户名

直接访问这个地址,成功登录

登录老师账号,发现了学生账号,可以用来测一波越权

这里因为一开始有两个登录地址,使用老师账号登录这个地址的话:
http://xxxx.fzu.edu.cn/lab/Login/LoginB.aspx500,功能点则为下面的

越权

登录个学生账号

这里直接
在路径拼接
地址即可越权访问

这里拼接那个lab的路径也可以访问,所有高权限功能都可越权访问

RCE

随便一个上传文件的地方

响应包返回了路径

成功执行命令