记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

格林豪泰一枚SQL注射漏洞

2014-12-26 14:00

业务操作系统:

code 区域
http://system.greentree.com.cn:8080/op/Module_ERP/home.htm



提示要MAC地址验证

1.jpg



以为这样就安全了吗?

用御剑扫到一处菜单列表.

code 区域
http://system.greentree.com.cn:8080/op/module_erp/menu.aspx



然后点入--网站流量统计 有权限

code 区域
http://system.greentree.com.cn:8080/op/module_erp/market/Search.aspx



在日期输入一个单引号

1.jpg



抓包丢进sqlmap 扫吧

两个点 txtTime1 txtTime2

dba权限 可以跨裤查询

2.jpg



3.jpg

漏洞证明:

^

修复方案:

加班加班


知识来源: www.wooyun.org/bugs/wooyun-2014-086218

阅读:79147 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“格林豪泰一枚SQL注射漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词