项目上一次SQL延时盲注扫描发现及复现
## 0x00前言
这次的漏洞是在掌控学习完后,跳槽到一家大数据公司项目中做的渗透测试发现的,在此记录并分享:
## 0x01工具需求:
软件:AWVS、burpsuite、sqlmap
## 0x02扫描
1、使用AWVS对项目地址进行全面扫描发现有sql注入漏洞,根据漏洞分析是基于POST请求的延时盲注:
2、0x03使用burpsuite抓包,然后进行数据库、表、字段、内容,进行爆破
3、数据库名称:
4、表名:
5、字段名:
## 0x04延时盲注太累人了,还是使用SQLmap吧!!
1、保存burpsuite抓包到的post请求到文件,使用sqlmap -r “sql.txt” —level 3进行扫描,得到漏洞类型
2、开始跑库名称:
3、表名
4、字段名称
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 30.00 | 0 | 2021-07-23 19:07:58 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
Track-聂风
发表于 2021-7-23
项目上SQL注入,挺少见的
评论列表
加载数据中...
依依东望
发表于 2021-7-23
burp可以跑时间盲注吗
评论列表
加载数据中...
TanSon
发表于 2021-7-28
项目上很多sql注入。某自来水公司都有
评论列表
加载数据中...