单纯小白

lkay

0关注
0粉丝
1文章
返回网站首页

您已发布 1篇文章作品写文章

记某大学sql注入拿到system权限

首先还是信息收集发现IIS,目录爆破后加上后缀访问,发现是金和OA的入口查找金和的nday,或者利用nuclei 测试是否存在漏洞发现存在sql注入漏洞说明:金和 OA C6/Control/GetSqlData.aspx/.ashx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中

 3个月前
 1 
 17