教育网站的一次SQL注入过程
对某教育网站的一次SQL注入过程
前期通过对互联网上资产的收集,筛选后挑选出了有漏洞的一些网站进行手工测试。这次发现的是关于某家教育机构的官网存在SQL的union联合注入漏洞。一下是我渗透测试的流程思路:
此为该教育机构的官网页面
测试是否存在注入点:
在工具帮助下找到此url链接,将对此进行测试
1-2
1-3
1-4
1-5
到这里基本可以判断应该是存在sql union的联合注入漏洞的,我们继续往下测试。
1-6
出现了报错,我想了一下也尝试以几种方法,后来发现是注释的原因,然后就成功显示了。
1-7
经过测试,锁定了数据库的字段值在:7 。接下就简单了。我们继续测。
1-8
1-9
爆出了数据库的版本和数据库名,接下来就爆出它所有的表和所有列名。
1-10
1-11
可以看见该网站中所有的数据表都被爆了出来。到这里我就不继续了,毕竟我是个好人!
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-01-112,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
网站渗透测试
网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。