门户网站开发工作室,wordpress 标签不显示图片,网站建设最新模板,焦作市建设工程网站前几天漏洞检测的时候无意发现一个sql注入
首先我先去网站的robots.txt去看了看无意间发现很多资产 而我意外发现admin就是后台
之后我通过基础的万能账号密码测试or ‘1‘’1也根本没有效果
而当我注入列的时候情况出现了
出现了报错#xff0c;有报错必有注入点
因此我…前几天漏洞检测的时候无意发现一个sql注入
首先我先去网站的robots.txt去看了看无意间发现很多资产 而我意外发现admin就是后台
之后我通过基础的万能账号密码测试or ‘1‘’1也根本没有效果
而当我注入列的时候情况出现了
出现了报错有报错必有注入点
因此我尝试了注入在order by 1和order by 2的时候是没有报错的而3就有了证明一件事情表格是两列咱们暂且确定他是user列和password当然是我猜的 那既然这样直接开启BurpSuite去进行抓包
很明显我输入的已经到里面了我们现在尝试更改命令为查询语句 好了版本信息出来了SQL Server 2008 10.50.1600.1
那我们继续去查用户一般来说公司内部都是user
很明显用户的名称出现了 那就ok了我们直接去sqlmap爆破即可,这里提示一个小点BurpSuite联合sqlmap使用将数据包导出来然后导入sqlmap目录下使用
sqlmap -r 1.txt -p username --dbs 数据库 查表
sqlmap -r 3.txt -p username -D qds131170580_db -T Admin_infor --columns
之后查询表中数据列名 sqlmap -r 3.txt -p username -D qds131170580_db -T Admin_infor --dump -C Name,Pwd
查看name和passowrd爆数据了
成功解密
解密MD5好用的网站:MD5免费在线解密破解_MD5在线加密-SOMD5 成功进入 xss在搜索上面进入a标签 实现
