本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳
SQL实战之BlueCMS
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“SQL实战之BlueCMS”。
一、实验介绍
1. BlueCMS是一款国产的CMS平台,十分灵活、方便,早些年广泛的应用于商业系统、个人博客等。
2. 漏洞产生的原因:
程序在使用getip()函数获取客户端ip时没有严格过滤数据,导致sql注入漏洞,攻击者通过SQL注入漏洞可直接获取到管理员的账号密码,危害严重。
漏洞危害:攻击者通过SQL注入漏洞,可直接获取到管理员的账号密码,或者数据库中其他信息,进一步能获取到Webshell,甚至危害服务器的安全。
二、实验目的
1.掌握如何在bluecms平台进行sql注入
2.了解漏洞产生的方式
3.了解漏洞修复方式
三、实验步骤
1.打开实验地址,查看实验环境,登入bluecms平台
2.构造sql语句,进行漏洞利用
四、修复方案
1.过滤转义相关参数
2.使用传参数的方式进行查询
3.使用在线防护产品
速度登录https://labs.do-ta.com/ GET起来
现在注册,立得50积分哟 ✌
东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~
微博、腾讯课堂、知乎、今日头条:
东塔网络安全学院
抖音:东塔网络安全培训
哔哩哔哩:东塔网络安全
了解更多活动和咨询欢迎微信添加:dongtakefu
-免费获取学习资料
电子书籍、试听课程-
原文始发于微信公众号(东塔网络安全学院):靶场科普 | SQL实战之BlueCMS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论