鸿 网 互 联 www.68idc.cn

爱丽网SQL注射可登录后台

来源:互联网 作者:佚名 时间:2016-05-07 10:02
爱丽网子域名站SQL注射可登录后台 详细说明:主要是看到了:我是如何登录爱丽网后台的(非JS绕过、非盲打、非IP欺骗)! 看到的文章:http://www.2cto.com/Article/201304/201783.html 进后台方法用Fiddler改返回数据包进入: 后进行测试,突发想到检测后台注

爱丽网子域名站SQL注射可登录后台
详细说明:主要是看到了:我是如何登录爱丽网后台的(非JS绕过、非盲打、非IP欺骗)!

看到的文章:http://www.2cto.com/Article/201304/201783.html

进后台方法用Fiddler改返回数据包进入:



后进行测试,突发想到检测后台注入试试,然后得到后台存在注射漏洞

后台中302定向后继续显示内容的漏洞未补,造成别人可以进后台看数据





将注入点:

http://wed.27.cn/marry/marryadmin/web/store.php?method=getstoredetail&id=269

丢到胡萝卜中去,得到如下结果:



cmd5下可以破出来,但是貌似有乱码了


修复方案:

后台302跳转修补,过滤注射!!

 

网友评论
<