SQL注入漏洞django-cve_2019_14234

已于 2022-05-14 20:22:16 修改
阅读量301 收藏 1
点赞数
文章标签: django
于 2022-05-13 15:51:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang____xiao/article/details/124753053
版权

Django靶场Django: the Web framework for perfectionists with deadlines.http://110.40.154.100:8000/

1.进入靶场出现界面

使用函数authentucate查看有哪些用户可以进行注入

 

2.然后我们访问http://your-ip:8000/admin进入后台,输入账号,未知密码,对密码进行爆破

使用工具burpsuite进行抓包,在主机上开启带你设置,然后使用Burpsuite进行抓包

进入intruder界面进行密码变量设置,如下图所示

右侧clear$清除变量,添加密码的变量

 

网络上下载一个常用密码字典 ,使用字典进行爆破

 爆破后观看长度length获取密码

由图像可知,密码为a123123123 

login登录

用户admin

密码a123123123

 注入用户信息

 添加上用户信息

 

 添加成功

Yang____xiao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulhub靶场
blalaa的博客
09-05 1688
Django JSONField/HStoreField SQL 注入漏洞 】 ①原理 Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。 在Django中支持Postgresql的数据类型:JSONField、HStoreField、Arr
django_cve_2019_19844_poc:适用于CVE-2019-19844的PoC(https:www.djangoproject.comweblog2019dec18security-releases)
02-04
cve_2019_19844_poc PoC要求Python 3.7.x PostgreSQL 9.5或更高建立创建数据库(例如django_cve_2019_19844_poc ) 将数据库名称设置为环境变量DJANGO_DATABASE_NAME (例如, export DJANGO_DATABASE_NAME=django_...
CVE-2020-7471原理分析及复现
无知亦乐
01-10 1116
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录漏洞简介漏洞影响版本一、漏洞原理分析二、相关说明三、复现总结 漏洞简介 2020年2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 漏洞影响版本 一、漏洞原理分析 在 Github
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6307
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
Django任意代码执行0day漏洞分析
Fly_鹏程万里
03-16 3751
Django的SECTET_KEY到代码执行。Django是一个可以用于快速搭建高性能,优雅的网站的平台,由Python写成。 采用了MVC的软件设计模式,即模型M、视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。 最近在进行网站代码审查的过程中,发现某些产品由于sessio...
一个django项目的部署(码云)
咸鱼!!!
06-10 1046
创建仓库 登入码云 点击添加 新建
漏洞django-cve_2019_14234 SQL注入
m0_62791432的博客
05-13 442
访问http://110.40.154.100:8000/进入页面 登录环境: 访问:http://1.1.1.1:8000/admin/vuln/collection/输入默认账户密码 账户:adimin 密码:a123123123 登录成功后看到以下界面:
漏洞复现-django-SQL注入】vulfocus/django-cve_2019_14234
10-12 1139
django-SQL注入】参数注入
漏洞复现-django-SQL注入】vulfocus/django-cve_2022_28346
10-12 1607
django-SQL注入】可控参数注入
Django_CVE-2020-9402_Geo_SQL注入分析1
08-03
Django_CVE-2020-9402_Geo_SQL注入分析1
django-scheduler_python_django_
10-01
A calendaring app for Django.
django-firebird_for DJ.3.X.rar
01-28
firebird资源包
Django-Internship_3March2021:Django-Internship_3March2021
03-09
Django-Internship_3March2021:Django-Internship_3March2021
使用 Django 显示表中的数据
最新发布
huakej_的博客
05-21 272
当我们使用 Django 进行 Web 开发时,经常需要在 Web 页面上显示数据库中的数据。例如,我们可能需要在一个页面上显示所有用户的信息,或者在一个页面上显示所有文章的标题和作者。那么,如何使用 Django 来显示表中的数据呢?完成以上步骤后,我们就可以在浏览器中访问。URL 来查看所有用户的信息了。希望这些信息对您有所帮助!
django 双下划线约定
u010674101的专栏
05-15 294
Django 中,双下划线(__)约定通常用于执行一些特定的查询操作,尤其是在使用 Django ORM 进行数据库查询时。这种约定被称为双下划线查询语法。双下划线查询语法允许你在查询中使用类似于 SQL 的语法,以执行复杂的过滤、联结和聚合操作。这将返回所有Entry对象,其关联的Blog对象的名称是 ‘example’。exactiexactcontainsicontainsingtlt这将为每个作者对象添加一个num_books属性,表示该作者拥有的书籍数量。
Django测试与持续集成:从入门到精通
https://blog.amd794.com
05-18 735
Django测试框架是Django web框架的一部分,提供了一个强大的工具集,帮助开发人员编写、运行和维护测试用例。Django测试框架基于Python的unittest模块,并扩展了许多有用的特性,例如数据库支持、测试客户端、模型和视图测试等。首页 | 一个覆盖广泛主题工具的高效在线平台可靠性:Django测试框架可以确保代码的正确性和一致性,减少手动测试的工作量。可重复性:Django测试框架可以在不同环境下运行,确保测试结果的可重复性。
【银角大王——Django课程——BootStrap父类样式】
weixin_45753504的博客
05-18 319
bootstrap父样式
django-admin list_display
05-26
`list_display` 是 Django 中的一个 ModelAdmin 类的属性,用于定义在管理页面中显示哪些字段。它是一个包含字段名称的元组或列表,可以包括模型中的任何字段、属性或方法。例如: ```python from django.contrib ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值