教程供如我一样的菜鸟交流,供大牛吐槽指点
作者:Star
个人主页:http://hucxingzai.lofter.com
检测目标站:http://www.dyh***.com
技术文章:
标题:丹阳市某电子器材厂存在大量sql注入漏洞、漏洞
内容:
safe3跑一下会显示很多漏洞,
(另见附件报告)
用sqlmap -u “xxxxx”(上图选中的网址) 得到access数据库直接列表 --table
爆出user,在列字段 -–columns-T user
爆出name password 再列内容,--dump-T user-C “user,passward”
然后御剑扫出后台可登陆,
后面修改上传类型,上传小马、一句话用中国菜刀链接不再赘述。
再次鸣谢那么多奉献的人,咖啡先生啦,君子先生啦,90大大啦等等!愿红盟越办越好,小菜之作,大牛见笑!论坛反应有点慢,发个帖挺费劲。 safe3那个漏洞检测工具能不能共享一份?找了很久了,谢谢。 支持,不过好像帖子不能带个人宣传博客 wuyan 发表于 2015-6-25 20:01
支持,不过好像帖子不能带个人宣传博客
奥,知道了,下次注意,博客什么都没有,也无意宣传什么。刚做不就,就是希望大家上网无聊可以听听音乐,哈哈!管理把链接删掉既可! wuyan 发表于 2015-6-25 20:01
支持,不过好像帖子不能带个人宣传博客
等等,阁下便是杀马特无言? 这种后台,其实是存在万能密码的…… 90_ 发表于 2015-6-25 20:27
这种后台,其实是存在万能密码的……
大大不要道破天机:'(说了要给菜鸟留活路的,不过我用admin' or 'a'='a"or "a"="a 什么的试了好像不行,不知还有其他好的万能密码?下次发有点难度的。 testKai 发表于 2015-6-25 15:48
safe3那个漏洞检测工具能不能共享一份?找了很久了,谢谢。
这个工具不难找的,百度既可。 楼主加油哦