EDUSRC通杀漏洞笔记：SQL注入篇

0x00 概述

本文档详细记录了在EDUSRC（教育行业漏洞报告平台）中发现SQL注入漏洞的技术细节，特别是针对排序(ORDER BY)和LIMIT子句的注入技术。这些漏洞在多个高校网站中存在通杀性。

0x01 EDUSRC简介

EDUSRC收录全国高校的所有漏洞，具有以下特点：

目标数量多，范围广
漏洞挖掘主要途径：
1. Web应用打点
2. 厂商0day漏洞

0x02 信息收集技术

Burp Suite Target模块：基于数据包对站点资产进行爬虫
排序功能点：重点关注desc、asc、orderby、limit等可能存在注入的地方

0x03 排序注入漏洞

漏洞发现过程

发现排序功能点，通过Burp Suite拦截数据包
测试参数：1/1正常，1/0报错，确认存在注入点
判断数据库类型：Java网站通常使用Oracle或MySQL

Oracle数据库注入技术

排序注入Payload：

1/decode(length(user),4,1,0)

decode()：Oracle编码函数
length()：Oracle中返回长度值的函数（MySQL/MSSQL中使用len()）
user：数据库用户

LIMIT子句注入技术

LIMIT注入Payload：

1/(vsize(user)-4)

vsize()：Oracle中返回数据长度的函数
当vsize(user)=4时，表达式结果为0，触发除零错误

0x04 通杀漏洞挖掘方法

指纹识别：寻找使用相同框架/系统的多个站点
功能点测试：
- 排序功能
- LIMIT子句
- 注册功能（可能包含未授权注入点）
多漏洞提交：一个站点可能存在多个注入点

0x05 技术要点总结

常见注入点：
- ORDER BY子句
- LIMIT子句
- DESC/ASC排序参数
Oracle特有函数：
- length()：字符串长度
- vsize()：数据长度
- decode()：条件判断
漏洞验证方法：
- 通过数学运算触发错误（如除零）
- 比较已知值长度（如Oracle的user通常长度为4）
通杀性验证：
- 相同框架/系统的多个站点可能存在相同漏洞
- 不同功能点可能使用相同的SQL查询结构

0x06 免责声明

所有涉及漏洞已提交至EDUSRC并修复。任何利用这些技术造成的后果由使用者自行承担。

EDUSRC通杀漏洞笔记：SQL注入篇 0x00 概述本文档详细记录了在EDUSRC（教育行业漏洞报告平台）中发现SQL注入漏洞的技术细节，特别是针对排序(ORDER BY)和LIMIT子句的注入技术。这些漏洞在多个高校网站中存在通杀性。 0x01 EDUSRC简介 EDUSRC收录全国高校的所有漏洞，具有以下特点：目标数量多，范围广漏洞挖掘主要途径： Web应用打点厂商0day漏洞 0x02 信息收集技术 Burp Suite Target模块：基于数据包对站点资产进行爬虫排序功能点：重点关注desc、asc、orderby、limit等可能存在注入的地方 0x03 排序注入漏洞漏洞发现过程发现排序功能点，通过Burp Suite拦截数据包测试参数： 1/1 正常， 1/0 报错，确认存在注入点判断数据库类型：Java网站通常使用Oracle或MySQL Oracle数据库注入技术排序注入Payload ： decode() ：Oracle编码函数 length() ：Oracle中返回长度值的函数（MySQL/MSSQL中使用 len() ） user ：数据库用户 LIMIT子句注入技术 LIMIT注入Payload ： vsize() ：Oracle中返回数据长度的函数当 vsize(user)=4 时，表达式结果为0，触发除零错误 0x04 通杀漏洞挖掘方法指纹识别：寻找使用相同框架/系统的多个站点功能点测试：排序功能 LIMIT子句注册功能（可能包含未授权注入点）多漏洞提交：一个站点可能存在多个注入点 0x05 技术要点总结常见注入点： ORDER BY子句 LIMIT子句 DESC/ASC排序参数 Oracle特有函数： length() ：字符串长度 vsize() ：数据长度 decode() ：条件判断漏洞验证方法：通过数学运算触发错误（如除零）比较已知值长度（如Oracle的user通常长度为4）通杀性验证：相同框架/系统的多个站点可能存在相同漏洞不同功能点可能使用相同的SQL查询结构 0x06 免责声明所有涉及漏洞已提交至EDUSRC并修复。任何利用这些技术造成的后果由使用者自行承担。