项目上一次SQL延时盲注扫描发现及复现

yangqiding   ·   发表于 2021-07-23 16:39:26   ·   实战纪实

## 0x00前言
这次的漏洞是在掌控学习完后,跳槽到一家大数据公司项目中做的渗透测试发现的,在此记录并分享:
## 0x01工具需求:
软件:AWVS、burpsuite、sqlmap
## 0x02扫描
1、使用AWVS对项目地址进行全面扫描发现有sql注入漏洞,根据漏洞分析是基于POST请求的延时盲注:

2、0x03使用burpsuite抓包,然后进行数据库、表、字段、内容,进行爆破

3、数据库名称:

4、表名:

5、字段名:

## 0x04延时盲注太累人了,还是使用SQLmap吧!!
1、保存burpsuite抓包到的post请求到文件,使用sqlmap -r “sql.txt” —level 3进行扫描,得到漏洞类型

2、开始跑库名称:

3、表名

4、字段名称

用户名金币积分时间理由
Track-聂风 30.00 0 2021-07-23 19:07:58 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 2021-7-28 | 1006 View

Track-聂风
发表于 2021-7-23

项目上SQL注入,挺少见的

评论列表

  • 加载数据中...

编写评论内容

依依东望
发表于 2021-7-23

burp可以跑时间盲注吗

评论列表

  • 加载数据中...

编写评论内容

TanSon
发表于 2021-7-28

项目上很多sql注入。某自来水公司都有

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2023 掌控者 All Rights Reserved.