记一次EDUSRC证书站的SQL注入
一、资产搜集
一般打某个确定的站点,我都会去搜集一波容易出洞的资产,能注册进去的站点自然是我们这种拿不到账号的师傅要重点关注的。这里给大家奉上我常用的鹰图语句:(domain=”XXX.edu.cn”&& web.body=”注册”)&& (web.title=”系统” or web.title=”平台” or web.title=”管理” or web.title=”后台”)
根据这个语法,我搜集到了一个可以注册进入的站点,注册进入后有很多功能可以测试,但是都没有明显漏洞。
二、SQL注入发现
一般挖掘注入,我都是根据bp插件xisaql被动检测+手工注入来完成的。测了一遍所有功能后,插件并没有给出有sql的提示,但这并不代表没有注入。因为是证书站,我又重新手测了一遍,果然发现了疑似注入点。
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:2 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-魔方 | 100.00 | 0 | 2024-10-16 16:04:34 | 本月首次有效投稿1篇文章奖励 100 |
| Track-魔方 | 700.00 | 8 | 2024-10-16 16:04:19 | 深度 200 普适 300 可读 200 |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
漏洞文章
满心欢喜
发表于 1天前
1
评论列表
加载数据中...
yangzhi1314
发表于 1天前
1
评论列表
加载数据中...
zsj666
发表于 1天前
<u>test</u>
评论列表
加载数据中...
杳若
发表于 1天前
1
评论列表
加载数据中...
小瑟斯
发表于 1天前
涨知识了
评论列表
加载数据中...
Tobisec
发表于 1天前
干货满满
评论列表
加载数据中...
郑居中
发表于 1天前
感谢分享
评论列表
加载数据中...
徐来.
发表于 23小时前
干货满满
评论列表
加载数据中...
北鱼
发表于 19小时前
学习了
评论列表
加载数据中...
w1714085706
发表于 12小时前
涨知识了
评论列表
加载数据中...