l 今天又是一天安全划水分析的日子,无意间打开发现一个贷款网页,心生念想,想测试看看有什么东西,嘿嘿。
l 安全圈ID:空 城
l 以下技术很垃圾,欢迎各位大佬指点我
l 随后我们随便点开一个贷款平台,发现如下网页
l 因为我个人喜欢SQL注入,并发现其URL后存在ID=10字段,立马提交单引号(’)并回车,立即网页有了报错,顿时心里有一万个CNM,撸下这个站的心情。
l 小伙伴们一看,这里Mysql报错了,但是转义,那么不慌,我们用报错注入,小问题分分钟Kill掉
l 果真直接报错注入绕过转义,哈哈哈,SQL注入有什么好难的,简单吧。
l 后续进行了深入测试,拿下很多数据出来,如下图一些注入细节(数据库,版本)
l 后续爆出的过程就很傻瓜式了,最终拿下此网站的admin账号&密码
l 掏出我的小本本与各位分享一下嘿嘿。
