记一次EDUSRC证书站的SQL注入

kpc   ·   发表于 2024-10-15 23:21:30   ·   漏洞文章

一、资产搜集

一般打某个确定的站点,我都会去搜集一波容易出洞的资产,能注册进去的站点自然是我们这种拿不到账号的师傅要重点关注的。这里给大家奉上我常用的鹰图语句:(domain=”XXX.edu.cn”&& web.body=”注册”)&& (web.title=”系统” or web.title=”平台” or web.title=”管理” or web.title=”后台”)

根据这个语法,我搜集到了一个可以注册进入的站点,注册进入后有很多功能可以测试,但是都没有明显漏洞。

二、SQL注入发现

一般挖掘注入,我都是根据bp插件xisaql被动检测+手工注入来完成的。测了一遍所有功能后,插件并没有给出有sql的提示,但这并不代表没有注入。因为是证书站,我又重新手测了一遍,果然发现了疑似注入点。

更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:2 金币
用户名金币积分时间理由
Track-魔方 100.00 0 2024-10-16 16:04:34 本月首次有效投稿1篇文章奖励 100
Track-魔方 700.00 8 2024-10-16 16:04:19 深度 200 普适 300 可读 200

打赏我,让我更有动力~

29 条回复   |  直到 1天前 | 531 次浏览

满心欢喜
发表于 2个月前

1

评论列表

  • 加载数据中...

编写评论内容

yangzhi1314
发表于 2个月前

1

评论列表

  • 加载数据中...

编写评论内容

zsj666
发表于 2个月前

<u>test</u>

评论列表

  • 加载数据中...

编写评论内容

杳若
发表于 2个月前

1

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 2个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

Tobisec
发表于 2个月前

干货满满

评论列表

  • 加载数据中...

编写评论内容

郑居中
发表于 2个月前

感谢分享

评论列表

  • 加载数据中...

编写评论内容

徐来.
发表于 2个月前

干货满满

评论列表

  • 加载数据中...

编写评论内容

北鱼
发表于 2个月前

学习了

评论列表

  • 加载数据中...

编写评论内容

w1714085706
发表于 2个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

spider
发表于 2个月前

1

评论列表

  • 加载数据中...

编写评论内容

乐营林
发表于 2个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

学kali的小白
发表于 2个月前

学习了

评论列表

  • 加载数据中...

编写评论内容

1708qq_com
发表于 2个月前

1

评论列表

  • 加载数据中...

编写评论内容

jiale321
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

tylon
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

h4a3
发表于 1个月前

感谢分享

评论列表

  • 加载数据中...

编写评论内容

charlatan
发表于 1个月前

1

评论列表

  • 加载数据中...

编写评论内容

腾风起
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

qkwkwkwk
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容
1 2 / 2 跳转 尾页
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.