SRC实战 | 某公司后台sql注入

最新推荐文章于 2024-08-20 20:45:00 发布
最新推荐文章于 2024-08-20 20:45:00 发布
阅读量491 收藏 11
点赞数 10
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/135771383
版权

本文由掌控安全学院 -  17828147368投稿

一. 通过arl灯塔收集资产信息,灯塔魔改版是真的不错,推荐使用

图片

二. 打开某xx.xxx.com,发现是一个后台,进入url就报错,盲猜存在sql注入漏洞

图片

三. 打开网站,发现这个后台也太老点,后台嘛肯定先测试一下弱口令,测试了一波,发现验证码可以重复使用,但是没有爆破出来

图片

四. 登录用burp抓包,复制数据包,打开sqlmap验证一下:
 

图片


 

图片


 

图片


伍. 存在sql注入,爆破出数据库,现在就可以提交了,点到为止!

图片

使用在线网站 爱站网 查询一下权重:

图片

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

 

渗透测试老鸟-九青
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞怎么挖 | SRC上榜技巧
hackzkaq的博客
02-01 4933
更多黑客技能 公众号:暗网黑客 作者:掌控安全学员-happy0717 这是一则招聘信息,有SRC提交证明的优先。 如果像我一样大专学历,没有工作经验那一定需要某种方法来证明自己是就业的水平。 我想漏洞盒子的公益SRC上榜应该是最简单的了。 虽然上榜不是找工作的硬性条件,但哪怕它可以给我们带来5%的就业机会也是值得的。 接下来我为大家列举一下在上榜的道路上可能会遇到的艰难险阻 1.不适宜的时机 我们回顾2020年漏洞盒子1月到12月公益SRC月榜TOP50的分数变化 从年初的最后一名只有20分 .
利用SQL注入漏洞登录后台的实现方法
12-15
以下是对SQL注入的详细解释及其在登录后台中的实施方法。 1. **SQL注入的基本原理**: SQL注入的步骤主要包括寻找注入点、构造SQL语句、发送到数据库、执行并获取结果。攻击者通常会在用户输入字段中插入额外的SQL...
实战真实网站的SQL注入
qq_55376995的博客
12-24 6560
某建设投资集团股份有限公司网站存在SQL注入一、发现过程1.使用百度语法寻找可能存在SQL注入的网站:inurl:?id=12.发现一个网站进去看看3.尝试手工注入:?id=1106'?id=1106-1?id=1106-24.发现页面发生变化,可能存在SQL注入二、漏洞利用1.这里使用sqlmap进行注入检测表:​检测字段:检测数据:4.然后跑出用户名和密码,但密码是加密过的,我用MD5解密最后得出。
1day-明源云erp某接口存在SQL注入漏洞
weixin_43167326的博客
04-16 1369
明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。该系统某接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
某消防智能指挥平台API接口页面sql注入
weixin_43167326的博客
04-16 588
天维尔消防智能指挥平台在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。该系统某接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
对某SRC的渗透测试实战
LuvTheEagleStan的博客
03-27 603
因为不甘心被称作会只点鼠标的猴子,所以开始了一次某SRC漏洞挖掘,为期一个多星期。文章有点长,但请耐心看完,记录了完整的SRC漏洞挖掘实战😃
实战SRC漏洞挖掘全过程,流程详细【网络安全】
2301_77645834的博客
04-28 831
记录一次完整的某SRC漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战
SQL注入全接触
luisant的专栏
11-26 3288
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合
Web安全工程师面试(SQL、XSS、CSRF、SSRF、XXE)
Hardworking666的博客
12-21 4083
文章目录一、Web基础二、SQL注入漏洞三、XSS跨站脚本漏洞1、反射型XSS漏洞原理2、存储型XSS漏洞原理3、基于DOM的XSS四、CSRF跨站请求伪造漏洞 一、Web基础 一次Web访问过程分析:DNS域名解析、TCP连接、HTTP请求、处理请求返回HTTP响应、页面渲染和关闭连接。 二、SQL注入漏洞 SQL注入漏洞是指, 攻击者能够利用现有Web应用程序,将恶意的数据插入SQL查询中,提交到后台数据库引擎执行非授权操作。 SQL注入漏洞的主要危害如下。 1 非法查询、修改或删除数据库资源。..
【网络安全】记一场完整实战SRC漏洞挖掘(超详细)全过程
2401_84208172的博客
05-30 1040
记录一次完整的某SRC[漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
sql注入教程.sql注入实战
11-09
sql注入详细教程 寻找存在sql注入的网址 探测过滤 tamper 得到shell
SQL注入实战
11-20
在本例中,安全专家冰河制作了《SQL注入实战》的教程,旨在指导初学者通过实战案例学习和掌握SQL注入技巧,从而提升对数据库安全的认识和对SQL漏洞的防护能力。 知识点一:SQL注入平台介绍 介绍中的SQL注入测试平台...
SQL注入绕过实战案例
08-31
SQL注入SQL Injection)是攻击者在Web应用的输入参数中插入恶意SQL代码,从而控制或操纵后台数据库服务器的一种技术。这种攻击通常发生在开发者未能充分验证用户输入的情况下。例如,一个简单的登录表单,如果未对...
SQL 时间盲注 (injection 第十六关)
最新发布
baishiqi12的博客
08-20 235
SQL 注入,仅供参考
SQL FOREIGN KEY 约束
m0_50736744的博客
08-16 425
SQL FOREIGN KEY 约束一个表中的 FOREIGN KEY 指向另一个表中的 UNIQUE KEY(唯一约束的键)。
SQL - 基础大汇总
心如冰清,天塌不惊
08-16 473
【代码】数据库 - 基础。
mysql创建quartz定时任务相关表sql
xiexf20230814的博客
08-20 231
-存储Cron触发器的cron表达式和其他信息。--接下来,创建索引以提高性能;--存储简单触发器的额外属性。--存储复杂触发器的简单属性。--存储触发器的blob数据。--存储已触发的触发器信息。--存储调度器的状态信息。--存储暂停的触发器组。--存储触发器信息。
掌握SQL注入:检测与构造实战
SQL注入检测是软件测试中确保数据库安全的重要环节。随着网络环境的发展,脚本入侵和注入漏洞成为黑客关注的焦点,特别是对于初学者和高级黑客来说,掌握SQL注入技术至关重要。SQL注入是指攻击者通过输入恶意SQL代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值