【原创】一次针对某企业网站的安全检测(漏洞挖掘)

  • 内容
  • 相关

今天呢身为小龙虾老公的我无聊,便在百度寻找一些企业站点,尝试挖掘漏洞是否存在,果然不出1小时成功检测了一个企业网站存在sql注入漏洞,下面来分享我对漏洞挖掘的思路。

下面我们来看看这站点的主页图。

  
上图就是主页的图了,然后看到主页不能判断什么东西对吧,然后我们在上面导航栏哪里选上一个。

这个就是选一个导航后的图,出现了什么asp对吧,那么下面有栏目,我们选择第一个看看

发现了什么,asp?id=对吧,那么参加过我们dspr的人都清楚我之前讲过这个?是什么,那么好我们输入'来检测是否乱码。
乱码了对吧,那么说明什么,这个站点可能存在sql注入的对吧,我们直接上工具sqlmap,我也讲过关于sqlmap的课程。
好的,这个呢已经检测到的确是sql注入漏洞,服务器类型是iis7.5,那么我们继续跑。
这样呢就是跑出来的,他的password未加密,说明这个站点应该没常管理。我们直接看admin后台,发现他不对,机智的我后面加上login.asp成功访问,登录后的图马上附上。
好的成功拿下管理员权限,这次漏洞挖掘就这样,如果不了解加我QQ851688805

本文标签:

版权声明:若无特殊注明,本文皆为《花落》原创,转载请保留文章出处。

本文链接:【原创】一次针对某企业网站的安全检测(漏洞挖掘) - http://www.9bwl.com/post-154.html

收录状态: [百度未收录×]  [360未收录×]  [搜狗已收录√]

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

sitemap
00:00 / 00:00
顺序播放