记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

万达某系统弱口令以及SQL注入

2014-12-17 15:45

问题存在于http://60.10.8.78/ 万达百货系统

测试发现帐号处单引号报错。

wd1.png



测试发现注入点为oracle盲注。

sqlmap跑出当前数据库为SCMUSER

wd2.jpg



因为是盲注,时间太慢。

手工测试发现存在测试帐号ceshi

密码为弱口令1

成功登录系统

wd3.jpg



未深入。

漏洞证明:

http://60.10.8.78/ 万达百货系统

帐号ceshi

密码1

修复方案:

更改弱口令

过滤注入

知识来源: www.wooyun.org/bugs/wooyun-2014-081721

阅读:44927 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“万达某系统弱口令以及SQL注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云