360网站卫士SQL注入绕过案例一个

最新推荐文章于 2022-03-07 18:00:10 发布
最新推荐文章于 2022-03-07 18:00:10 发布
阅读量378 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/h4ck0ne/p/5154700.html
版权

不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限。

存在漏洞的网站:
 





手工测试存在注入点:
 





但是网站有360保护,没法脱裤,必须想办法绕过:
 





360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过。于是在

网上搜索,终于在netcraft上找到:
 





源站IP为: 222.210.108.213





于是直接上sqlmap开炮:
 



跑出数据库,说明绕过360可以脱裤了。用户为root,还是弱口令。
 

   





试试跑数据库名:
 

   

   







还可以直接读敏感文件:
 

解决方案:

隐藏服务器IP,加强网站自身过滤

转载于:https://www.cnblogs.com/h4ck0ne/p/5154700.html

weixin_30911809
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360数据库防注入
01-06
360提供的防sql注入 php类库 直接在php文件开头加入include('360_safe3.php'),修正正则表达式,匹配更多的sql关键字
Bypass 360主机卫士SQL注入防御(多姿势)
大方子
08-20 1438
0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。 从半年前测试的虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。 这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御。     0x01 环境搭建 360主机卫士官网:http://zhuji....
ASP防止SQL注入的360解决方案
itstt的专栏
05-19 4685
<% On Error Resume Next if request.querystring|<|=|in|like)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(T
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
waf绕过—过360主机卫士sql注入
一个普普通通的博客
03-07 2760
过360主机卫士sql注入
第07篇:Bypass 360主机卫士SQL注入防御(多姿势)1
08-03
然而,任何防御系统都有可能被绕过,以下将详细探讨如何绕过360主机卫士SQL注入防御。 ### 0x02 WAF测试 **姿势一:网站后台白名单** 360主机卫士允许设定特定的后台路径作为白名单,不会对其进行过滤。通过利用...
第四篇:Bypass 360主机卫士SQL注入防御(多姿势)1
最新发布
08-03
例如,发送一个包含大量`A`的POST请求,其中包含SQL注入语句。 4. **URI参数溢出**: 某些WAF产品可能限制检测的URI参数数量,当参数数量超过限制时,后面的参数不会被检查。通过提交超过该限制的参数数量,可以绕...
编写绕过360安全卫士自启动项 - 黑白网络
04-12
编写绕过360安全卫士自启动项 - 黑白网络
360安全卫士界面模仿源码 X360SecurityGuardsInterface.rar
10-15
360安全卫士界面模仿源码 源码描述: ... 一款模仿360安全卫士的界面源码,基于winform开发,自定义界面和皮肤,有需要的朋友不要错过 二、注意事项 开发环境为Visual Studio 2013,使用.net 4.0开发。
黄色宾馆网站制作资源免费
11-18
模板介绍: 黄色宾馆网站模板,风格清晰高雅,适合制作酒店,饭店、宾馆、餐厅等企业网站..... 宽度:1000px 对齐:居中 主色:黄色 结构:div+css 运行环境:asp.net2.0(或以上) 后台地址:pageadmin网站管理系统
360代码卫士_「经验总结」SQL注入Bypass安全狗360主机卫士
weixin_39880479的博客
11-26 544
0x00 前言这类的文章已经是比较多了,本文也主要是作为学习笔记来记录,主要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法。0x01 环境搭建测试环境:Win7 + Apache + MySQL 5.7.26 + PHP 5.5.45测试代码:...
轻松bypass360网站卫士WAFSQL注入防护
h4ck0ne的博客
01-23 3299
随便网上找了一个网站,只是测试一下,没有干非法的事情! code 区域 http://www.py-guanyun.com/CompHonorBig.asp?id=49  code 区域 http://www.py-guanyun.com/CompHonorBig.asp?id=49 and 1=1 被拦截 换一个姿势看看: code 区域 http://www.py-g
轻松绕各种WAF的POST注入、跨站防御(比如安全狗)
weixin_33751566的博客
08-01 424
XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。 构建如下HTML表单: <!DOCTYPE html> <html> <head&...
四个福利性在线网站分享,每一个都让你欲罢不能……
热门推荐
weixin_43363835的博客
02-03 352万+
随着社会的不断发展,我们网络上的一些资源就像雨后春笋一般的拔地而起,许多东西我们的来不及上车就被新的事物给掩盖了,但是对于一些好用的网站来说是真的很不错,小编今天就和你们分享一些最具福利性的在线网站! 你们准备好了吗?老司机准备发车了: 一.TinEye.com—图片搜索引擎 如果你的电脑或者你的手机里有一张不知道哪里来的图片,你想要将图片的源地址给找出来该怎么做?一般的时候我们都是束手无策,但是有了这个网站就不一样,可以图片上传带上去进行查找...
道家眼中的色情伤害
shine4j的专栏
12-09 8824
[当今西方世界,色情和金钱已成为社会原始推动力.象灭亡前的古罗马和巴比伦帝国一样,甚至赋予淫荡、色情为神圣。“食色,性也”,于是西方标榜为天经地义,并阐种种邪说以惑众。      到了淫色的境地,却已沦为满足肉体发泄、刺激、兴奋的欲望,象发情的野兽一样,寡廉鲜耻。其实又何止色情,世间的虚荣、名利等等,都是人们追逐滋味,为物所转所缚。“妄想为本,入于诸趣”,就是世间相。      寻求欢乐是
一个比较淫荡的程序源码(VC)
日志
04-11 8554
一个比较淫荡的程序源码(VC) 一个比较淫荡的程序,编译好之后,运行,你就会.................. (VC) 复制内容到剪贴板 代码: /* code by W.Z.T */ /* Just For Fun */ #include #include #define SLEEP_TIME1 10 #define SLEEP
php过滤非法字符类
云烟阁
06-15 4388
<?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?
如何利用DLL注入绕过火绒和360主动防御写入扇区?
ceeyourbac的博客
12-15 4069
前言 由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。 在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码 int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR l
"360安全卫士安装后的系统更改及监测情况分析
360安全卫士是一款常用的系统安全防护软件,它可以帮助用户保护计算机免受病毒、恶意软件和网络威胁的侵害。安装360安全卫士后,系统会发生一些改变,这些改变可以通过Total Uninstall软件进行监测和记录。 根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值