靶场科普 | SQL实战之BlueCMS

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳

今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“SQL实战之BlueCMS”。

一、实验介绍

1. BlueCMS是一款国产的CMS平台，十分灵活、方便，早些年广泛的应用于商业系统、个人博客等。

2. 漏洞产生的原因：

程序在使用getip()函数获取客户端ip时没有严格过滤数据，导致sql注入漏洞，攻击者通过SQL注入漏洞可直接获取到管理员的账号密码，危害严重。

漏洞危害：攻击者通过SQL注入漏洞，可直接获取到管理员的账号密码，或者数据库中其他信息，进一步能获取到Webshell，甚至危害服务器的安全。

二、实验目的

1.掌握如何在bluecms平台进行sql注入

2.了解漏洞产生的方式

3.了解漏洞修复方式

三、实验步骤

1.打开实验地址，查看实验环境，登入bluecms平台

2.构造sql语句，进行漏洞利用

四、修复方案

1.过滤转义相关参数

2.使用传参数的方式进行查询

3.使用在线防护产品

速度登录https://labs.do-ta.com/ GET起来

现在注册，立得50积分哟 ✌

东塔网络安全学院在各大平台均上线了各项活动和学习内容，快快登录以下各大平台学习起来吧~

微博、腾讯课堂、知乎、今日头条：

东塔网络安全学院

抖音：东塔网络安全培训

哔哩哔哩：东塔网络安全

了解更多活动和咨询欢迎微信添加：dongtakefu