90_ 发表于 2013-8-28 09:56:27

newcms_v2.2-sql注入


可以看到USERJIHUO.ASP的id没有进行任何过滤

进一步证实,而且是数字型注入,被调用的文件中也没有过滤代码,构造得到的注入点:
/user/USERJIHUO.ASP?id=1
由于注入语句正确后会弹窗口,浏览器中不好直接观看,所以丢注入工具进行检测
自动添加表名:new_admin 用户字段:admin_name 密码字段:admin_pass
批量搜索关键字:
**** Hidden Message *****

0x01 发表于 2013-8-29 03:15:48

sfsf1 发表于 2013-8-29 22:01:05

这个东西还不错

Diana 发表于 2013-8-30 00:13:26

:lol 赞一个

龙辰丶 发表于 2013-9-1 10:09:08

回复学习了。:)

蓝色_ 发表于 2013-9-1 19:38:37

额,新注入

ppang 发表于 2013-9-1 21:28:59

看看,,,,,,,,,,,

bttyby 发表于 2013-9-2 10:22:01

2863482451 发表于 2013-9-2 13:38:11

看看利用过程

浩森 发表于 2013-9-10 16:43:35

看看,学习
页: [1] 2 3 4
查看完整版本: newcms_v2.2-sql注入