安全分析,无意间的渗透

    今天又是一天安全划水分析的日子,无意间打开发现一个贷款网页,心生念想,想测试看看有什么东西,嘿嘿。

安全圈ID:空 城

以下技术很垃圾,欢迎各位大佬指点我

 

随后我们随便点开一个贷款平台,发现如下网页

 

 因为我个人喜欢SQL注入,并发现其URL后存在ID=10字段,立马提交单引号(’)并回车,立即网页有了报错,顿时心里有一万个CNM,撸下这个站的心情。

 

小伙伴们一看,这里Mysql报错了,但是转义,那么不慌,我们用报错注入,小问题分分钟Kill掉

 

果真直接报错注入绕过转义,哈哈哈,SQL注入有什么好难的,简单吧。

后续进行了深入测试,拿下很多数据出来,如下图一些注入细节(数据库,版本)

 

 

 

后续爆出的过程就很傻瓜式了,最终拿下此网站的admin账号&密码

掏出我的小本本与各位分享一下嘿嘿。

 

 

 

你可能感兴趣的:(安全分析,无意间的渗透)