sql语句 - 第 3 | CN-SEC 中文网

安全漏洞

泛微e-office 11.0 RCE

后台利用sql进行RCE第一处漏洞点，此处利用sql注入getshell访问 http://192.168.91.1:8010/eoffice/client/web/report/datasource...

11月27日44 views评论

阅读全文

安全漏洞

influxdb未授权访问漏洞复现（cve-2019-20933）

influxdb是一款著名的时序数据库，其使用jwt作为鉴权方式。在用户开启了认证，但未设置参数shared-secret的情况下，jwt的认证密钥为空字符串，此时攻击者可以伪造任意用户身份在infl...

11月11日133 views评论

阅读全文

安全工具

黑盒测试Mysql实时监控辅助工具

MySQLMonitorMySQL实时监控工具（代码审计、黑盒测试辅助工具）使用1.自行打包使用git clone https://github.com/fupinglee/MySQLMonitorc...

11月08日18 views评论

阅读全文

安全文章

【Pikachu靶场】SQL-Inject实战

困难、痛苦、挫折总是接踵而至，这正是世间的常理。要是输了，就只能说明我不过是如此程度的男人。1.Sql Inject(SQL注入)概述Sql Inject(SQL注入)概述在owasp发布的to...

11月07日31 views评论

阅读全文

安全文章

一次edusrc挖掘有关sql语句利用的分享

搜到一个小程序，点开以后看看功能点点击已审核然后抓包要不要这么明显，一眼and or desc，我们加个单引号试一下成功报错，然后跑一下sqlmap发现有waf且跑不出来，难道真的就只能一点点手绕吗，...

10月18日13 views评论

阅读全文

安全文章

MySQL监控sql语句

为什么要对SQL语句进行监控？我们在本地搭建环境进行SQL注入的时候，想要知道SQL语句最后执行的结果，拼接是否完成，哪些字符被过滤了。我们可以跟着代码走一遍，但比较繁琐不适合初学者。还有一些我们光有...

10月07日13 views评论

阅读全文

安全文章

金和OA SignUpload SQL注入分析

资产测绘 fofa: body="JHSoft.Web.AddMenu" || app="金和网络-金和OA" || app="Jinher-OA" 漏洞分析首先进入到JHSoft.Web.Ask下...

09月27日19 views评论

阅读全文

安全文章

webshell下的Rasp简易绕过

一、什么是RASP？在2014年的时候，Gartner引入了“Runtime application self-protection”一词，简称为RASP。它是一种新型应用安全保护技术，它将保护程序...

09月26日77 views评论

阅读全文

安全文章

记一次绕过限制SQL注入bypass

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！ruoyi的洞，但这个漏洞比较鸡肋，要求有管理员权限，且每次执行都会在数据...

09月25日48 views评论

阅读全文

代码审计

Ofcms1.1.3版本审计

越权重置密码：漏洞复现：新增用户test密码:111111,并登录test用户看见为test用户，点击修改密码，抓包，将user_id修改为1，则成功修改管理员密码代码分析：根据数据包找接口syst...

09月10日19 views评论

阅读全文

安全文章

如何用一种SQL注入姿势在src斩获30w+赏金？

前言团队师傅在国内外SRC的clickhouse的sql注入挖掘中，累计金额已超30w+，秉持一个技术forfree的思想，还是抽时间整理了一些技术点，希望能够对各位师傅带来一些帮助。Clickhou...

08月11日74 views评论

阅读全文

代码审计

Java代码审计—SQL注入篇

一、典型代码框架简述Spring是一个开源的Java框架，提供了一系列组件和工具，用于构建企业级应用程序。审计一个基于Spring的项目，它的目录看起来是这样的假设我们有一个简单的订单管理系统，包含以...

08月08日46 views评论

阅读全文

泛微e-office 11.0 RCE

influxdb未授权访问漏洞复现（cve-2019-20933）

黑盒测试Mysql实时监控辅助工具

【Pikachu靶场】SQL-Inject实战

一次edusrc挖掘有关sql语句利用的分享

MySQL监控sql语句

金和OA SignUpload SQL注入分析

webshell下的Rasp简易绕过

记一次绕过限制SQL注入bypass

Ofcms1.1.3版本审计

如何用一种SQL注入姿势在src斩获30w+赏金？

Java代码审计—SQL注入篇

在线咨询

微信