记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

手机中国某系统SQL注入导致泄漏大量库

2015-08-21 08:35

URL:http://subadmin.cnmo.com


首先该系统登录会返回 用户不存在和密码错误 于是 开始用top500跑了 用户名 然后密码暴力破解,跑了一会后提示 次数过多账户被禁
 

屏幕快照 2015-07-02 10.36.01.png



然后试了下用X-Forwarded-For能否绕过,结果可以果断加个单引号报错了
 

屏幕快照 2015-07-02 10.58.46.png



接着手动验证
 

屏幕快照 2015-07-02 10.36.24.png


 

屏幕快照 2015-07-02 10.36.38.png



可以看出存在布尔盲注 果断上sqlmap
 

屏幕快照 2015-07-02 10.40.07.png


 

屏幕快照 2015-07-02 10.43.30.png



库全漏了

PS:注入的前提是先用一个存在的用户名 多次提交登录让系统返回 次数过多 然后用X-Forwarded-For 注入即可 直接注是不行的

解决方案:

过滤

知识来源: www.2cto.com/Article/201508/434474.html

阅读:88687 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“手机中国某系统SQL注入导致泄漏大量库”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词