SRC实战 | 某公司后台sql注入

本文由掌控安全学院?-??17828147368投稿

一. 通过arl灯塔收集资产信息，灯塔魔改版是真的不错，推荐使用

二. 打开某xx.xxx.com,发现是一个后台，进入url就报错，盲猜存在sql注入漏洞

三. 打开网站，发现这个后台也太老点，后台嘛肯定先测试一下弱口令，测试了一波，发现验证码可以重复使用，但是没有爆破出来

四. 登录用burp抓包，复制数据包，打开sqlmap验证一下：
?

?

?

伍. 存在sql注入，爆破出数据库，现在就可以提交了，点到为止!

使用在线网站?爱站网?查询一下权重：

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。

免费领取安全学习资料包！

渗透工具

技术文档、书籍

?

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

?

应急响应笔记

学习路线

?