看到小伙伴一个漏洞 : WooYun: 驴妈妈旅游网某站SQL注入(DBA权限/20个库)
然后这个漏洞: WooYun: 大量旅游平台爆破(大量金额可提现/订单数据泄漏/大量成功案例)
查看一下这些平台的/m目录
都有这个手机登陆的页面,然后登陆,发现账号和密码是通用的.
发现是可以登陆的.
那么记下来祭出大杀器 大杀器呢 与猪猪侠的平台相似
详情请看 http://zone.wooyun.org/content/21289
自动生成sqlmap语句,直接放到sqlmap里执行
看结果
比如这种旅游平台的话,数据量是非常大的
还是很多旅游平台都在用
查看一些用户名密码
从这个链接可以知道这些都是可以 提现,有银行卡,或者支付宝信息
所以呢,来查看一下用户
然后贴几条sqlmap语句
具体链接如下: 这里去除了cookie , 测试时加上cookie就能注入了