记某公司SQL注入漏洞 – 作者:LSone1

前言

此次演练来源于使用谷歌搜索引擎偶然得到的站点。本人萌新一枚,大佬勿喷。

实战过程

1. 谷歌语法 ’inurl:php?id=’,找到此站点。

1622788061_60b9c7dd1ac3689b5d043.png!small?1622788061366

2. 通过参数判断为数字型,接着开始构造SQL语句,得到列数为9。

图片[2]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科3. 先判断显示位在哪里。

图片[3]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科

4. 接着查出数据库和当前用户。

图片[4]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科5. 这里的第一个表直接爆出了admin表。

图片[5]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科6. 接着爆出表中的主要字段。

图片[6]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科图片[7]-记某公司SQL注入漏洞 – 作者:LSone1-安全小百科

总结

站点应加强防护,程序员应进行黑白名单过滤。

来源:freebuf.com 2021-06-04 15:03:44 by: LSone1

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论