理论基础
mysql存在注入,并且注入的sleep语句如果传入一个足够大的参数,比如:sleep(9999999999).如果数据库用的是myisam引擎,且注入点是某个会锁表的语句(insert,replace,update,delete),那么整个数据表的访问都会被阻塞。使用该表的所有应用的读库请求都会被阻塞.
寻找注入
正好手上有个一直拿不下的dz站点,就拿你做demo了,查询同服站点,google
Site:av.com inurl:*.php?
不久找到一个注入点 上sqlmap.
报错注入 –sql-shell 进去sqlmap sql操作
压力测试
执行延时代码.
select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f)
Nice job www.av.com 已然打不开鸟 但是同服几个mysql站点木有影响,多个几个注入点,同时来..
mysql 服务器貌似挂了 同服的mysql驱动的站都死了 来几张高清无码图
Dedecms
再来看悲剧的discuz
转自:http://www.yaseng.me/mysql-sql-injection-ddos.html
留言评论(旧系统):
文章来源于lcx.cc:另类攻击 - Mysql注入到整个数据库服务器崩溃
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论