|
阅读:0回复:4
某PHP企业站数据库注入测试
[i=s] 本帖最后由 柴兴龙 于 2015-11-17 22:18 编辑
http://****/about.php?id=20在公司简介页面网址后面输入and 1=2 成功报错。初步鉴定有注入点。 使用sqlmap获得当前数据库为yh。然后tables表单有g_admin。(省略,太详细了以免不发份子利用)。 然后继续通过column指令检测g_admin获得了username和password两项。 最后dumpusername和password获得账号admin和一串MD5码。自带解密显示123456 回到网站后台,登录成功。GET。发到乌云去噜 |
|
|
板凳#
发布于:2015-11-17 22:25
这个区人好少厚
这个区人好少厚,各位大大学php的时候,记得一定要添加完善的过滤机制。 |
|
|
地板#
发布于:2016-04-01 09:44
有机会拿自己做的东西测测
@@32!! 学习了,有机会拿自己做的东西测测,一直相信框架,没测过。。。 |
|
|
4楼#
发布于:2016-04-06 17:28
不会收吧
乌云 不会收吧? 现在补天都不收小站了 不过你以可试试 继续入侵拿到数据库或者服务器(后台试着上传大马) |
|
