实战某公司后台sql注入拿下高危

2024年6月23日17:50:25评论17 views字数 377阅读1分15秒阅读模式

本文由掌控安全学院 -

17828147368

 投稿

来Track安全社区投稿~

一. 通过arl灯塔收集资产信息，灯塔魔改版是真的不错，推荐使用

二. 打开某xx.xxx.com,发现是一个后台，进入url就报错，盲猜存在sql注入漏洞

三. 打开网站，发现这个后台也太老点，后台嘛肯定先测试一下弱口令，测试了一波，发现验证码可以重复使用，但是没有爆破出来

四. 登录用burp抓包，复制数据包，打开sqlmap验证一下：
实战某公司后台sql注入拿下高危

伍. 存在sql注入，爆破出数据库，现在就可以提交了，点到为止!

使用在线网站爱站网查询一下权重：权重符合，可以去提交漏洞咯~

实战某公司后台sql注入拿下高危

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：漏洞挖掘 | 实战某公司后台sql注入拿下高危

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

本文由 admin 发表于 2024年6月23日17:50:25
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
实战某公司后台sql注入拿下高危https://cn-sec.com/archives/2876292.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.