记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

红黑联盟主站SQL注入&绕过百度云加速

2016-01-22 14:40

小菜去联盟学习,开始纯粹是随便搜索123,返回的内容与123并不相关,再随手搜123qwe,页面报错,直觉告诉我,这里有注入

经过反复测试,发现搜索纯数字,会返回结果,但是和搜索的数字无关,如果搜索数字开头并且包含字母的字符串,则报错,搜字母开头则正常返回

http://www.2cto.com/index.php?m=search&c=index&a=init&typeid=1&iteid=1&q=123qwe

1.png



搜123qwe

2.png



百度云加速过滤

3.png



在关键字中加*,绕过百度云加速

4.png



获得库名,试了下不是root用户

9.png





6.png



字段

7.png



5.png

漏洞证明:

同上

修复方案:

不会

知识来源: www.wooyun.org/bugs/wooyun-2016-0170359

阅读:93562 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“红黑联盟主站SQL注入&绕过百度云加速”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云