民航快递有限责任公司
http://www.cae.com.cn/Default.aspx
大客户登录处存在SQL注入,Oracle数据库,就单单看了CAE一个数据库就可以获取数百万数据信息,同时也可以获取客户信息,公司信息,管理员信息等。
存在SQL注入的地址
随便输入,然后登录抓包
========================================================
===================================================
ctl00%24Content_Body%24Cp_Pass(也就是sqlmap处显示的ctl00$Content_Body$Cp_Pass)参数也存在注入
直接看神器sqlmap的测试过程吧,使用--tamper "between.py,space2comment.py,randomcase.py" --level 3
直接看sqlmap的结果吧!~~~