真的是一个“玄学”漏洞吗?!

最新推荐文章于 2023-03-23 13:36:54 发布
最新推荐文章于 2023-03-23 13:36:54 发布
阅读量177 收藏
点赞数
分类专栏: 问题解决 文章标签: 万能密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42936566/article/details/86625162
版权

事情经过

有几天没写博客了,原因是我的模电期末考试挂了...郁闷了几天。昨天补天漏洞平台某审核联系我,说厂商来问漏洞细节。当时我一脸懵逼,因为那个漏洞不就是很简单的越权漏洞么,访问URL不就好了。于是我问了审核,当时您复现了吗,他居然说没有!然后我就在自己电脑上再次试了一下,结果大吃一惊!

 

难道我遇到传说中的“厂商吞洞事件”了?

于是,我尝试了一遍复现。由于这个漏洞是我用SQLMAP注入失败回显的一个后台登录地址(不会绕WAF啊,留下了没技术的眼泪),我就开始再用SQLMAP注入了一遍

 

然后访问该地址,居然又成功进入了后台!

我和审核都觉得这个漏洞很“玄学”!

后来,我思考了一下,发现这会不会是SQLMAP里的Payloads绕过了这个系统的验证机制。

到底是什么呢?

经过我在用户名那里填写 admin ' -- ,密码随意,成功登录系统。没错,这就是古老的、传说中的“万能密码”!

“万能密码”也能说明这个后台页面存在着SQL注入漏洞。

 

 

 

 

 

 

看不尽的尘埃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http请求走私漏洞原理,利用,检测,防护
墨痕诉清风的博客
11-24 2641
当今的web架构中,单纯的一对一客户端---服务端结构已经逐渐过时。前端服务器与后端服务器。前端服务器(例如代理服务器)负责安全控制,只有被允许的请求才能转发给后端服务器,而后端服务器无条件的相信前端服务器转发过来的全部请求,并对每一个请求都进行响应。但是在这个过程中要保证前端服务器与后端服务器的请求边界设定一致,如果前后端服务器对请求包处理出现差异,那么就可能导致攻击者通过发送一个精心构造的http请求包,绕过前端服务器的安全策略直接抵达后端服务器访问到原本禁止访问的服务或接口,这就是http请求走私。
Dubbo 高危漏洞!原来都是反序列化惹得祸!
Java后端技术
07-16 313
往期热门文章:1、《往期精选优秀博文都在这里了!》2、Linus:我们都老了,但Linux维护后继无人!3、为什么 0.1 + 0.2 = 0.300000004?4、求求你!数据库不要...
java 分割一个_分割java
weixin_31626765的博客
02-21 1106
【java】分割字符串工具类,霸气 jdk自带的java分割字符串,分割string,可以根据多个条件去分割。比如逗号,分号,逗号或者分号。比如一个字符串:“abc,def;gh,ij;k;lm,no,p;qr,st”按逗号和分号分隔,,这里应该分隔成10个字串,,java怎么写??如果用split怎么样一次分隔开?Strin...文章落雨_2012-08-22799浏览量Java的字符串分割的...
nginx 上传文件漏洞_文件上传及解析漏洞
weixin_30444517的博客
12-29 1695
注:本文仅供学习参考文件上传定义:文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。即便很容易被攻击者利用漏洞,但是在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业...
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1175
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
web常见漏洞修复方法
热门推荐
CoffeeAndIce的博客
07-02 1万+
内容锚点一、cookie问题1、httpOnly2、Cookies with missing, inconsistent or contradictory properties二、 Clickjacking 问题三、TLS/SSL LOGJAM attack四、HSTS问题 一、cookie问题 1、httpOnly Java 解决方案 let JSESSIONID = document.cookie.match("JSESSIONID"); if(JSESSIONID){ console.log(J
真的会php吗,实验吧web-你真的会PHP吗
weixin_36227730的博客
03-21 127
想着也做了几个PHP题了,那就开这个题吧(每天做哪道真的不仅是玄学,也是心情),然而好像今天这个也没这么简单。1、首先打开网页就是一个have fun,关于这个我也有一些了解了吧,反正主页什么都没有就看源代码然后看请求,果然在请求中找到hint。2、按照hint打开那个txt,直接是源码。3、从源码中找线索吧。鉴于我是一个小白,那就从头开始看吧。一点一点看,一点一点解释。(1)源码:ini_set...
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8733
一直没有系统的总结过 weblogic 的漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
kail 搭建docker和vulhub漏洞环境
swordheart的博客
06-22 1013
每到出现新漏洞时,复现漏洞出现各种各样的环境问题,这时候心态要放正,因为搞安全会遇到各种玄学问题,下面进入正题,Vulhub是一个面向大众的开源漏洞靶场,可以借助漏洞靶场和Docker容器完成漏洞复现,实话说vulhub确实非常好用,谁用谁知道1.搭建Docker容器未安装docker情况如下查询下kail的内核版本,安装docker要求版本大于3.1即可使用apt进行安装时,kail的源是国外的源,有时候由于网络原因可能下载不了,并且下载会很慢,所以我们可以把源更改为国内的源,可以看到我之前已经换成了中科
玄学or科学?揭秘创造力 .doc
03-10
产品经理的“闭关”思考就是一个例子,通过改变环境和情绪状态,来激发解决问题的新思路。这种创造力涉及到大脑的杏仁核和扣带皮层,与情感处理和人际交往紧密关联。 自发的认知创造力通常在不经意间出现,不依赖于...
玄学
02-21
总的来说,"玄学"项目可能是一个具有复杂技术背景或独特实现方式的iOS应用,主要面向iOS 12.4及更高版本的用户,尤其是iPad用户。通过解压提供的“Hsuan-Study-master”文件,开发者和有兴趣的人员可以深入了解其...
抢票是一门玄学
08-19
抢票是一门玄学
线材玄学?说说模拟和数字信号线如何影响声音
07-29
在音响领域,线材往往被讨论得如同一种“玄学”,因为它们对声音质量的影响看似微妙却又至关重要。本文主要探讨了模拟信号线和数字信号线如何影响声音表现,旨在为发烧友们提供一些理性分析。 首先,模拟信号线,如...
EMC作用是什么?浅析EMC在电路设计当中的问题
01-12
 一、电源系统处理: 一个原则:要有源和阻抗的概念,源需要限度达到IC然后由地快返回。 这是PDN系统的设计划分。 开关电源的设计要点就在于开关电流回路的处理,回路要小! 对于覆铜处理:避免RF部分通过耦合...
蒙牛智能化改造解决方案.docx
08-17
蒙牛智能化改造解决方案.docx
java基于ssm+jsp BS架构的学生档案管理系统源码 带毕业论文
08-17
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
机械行业数字化生产供应链产品解决方案.pdf
最新发布
08-17
机械行业数字化生产供应链产品解决方案.pdf
基于python的个人博客系统的设计与实现代码(包含数据库)
08-17
基于python的个人博客系统的设计与实现代码(包含数据库),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python的个人博客系统的设计与实现代码(包含数据库),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python的个人博客系统的设计与实现代码(包含数据库),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python的个人博客系统的设计与实现代码(包含数据库),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python的个人博客系统的设计与实现代码(包含数据库),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设
设计一段玄学中大反派出生时的异象
04-25
当大反派出生时,天空中突然变得血红色,闪电狂舞,雷声轰鸣,伴随着一阵强烈的恶臭。同时,大地开始颤抖,土石飞溅,连绵不断的黑云密布,覆盖着整个天空。在这股强大的异象之下,所有人都感受到了一股凶险的气息,仿佛有一股邪恶的力量正在酝酿。这一幕极为神秘,闻所未闻 ,让人心生恐惧,也预示着此人将来的邪恶与强大。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值