JA-awd-sqlgunnews新聞管理系統

1.打開主頁 搜索框看一波,輸入美國 發現了什麼不得了的東西,居然輸出了後臺的某個查詢邏輯,於是看看搜索框能不能也這樣繞過,爆庫爆表爆字段,得到後臺登陸賬戶密碼 解密得密碼爲adminSql注入修復建議:pdo預處理 2.繼續看看沒發現什麼東西,看了一下自己的源碼,發現後臺登陸頁面 admin admin登陸(其實這裏也有sql注入漏洞,萬能密碼就登陸上了。。。)發現一個任意文件下載漏洞 試試下載
相關文章
相關標籤/搜索