黑龙江省城市规划勘测设计研究院某分站存在sql注入漏洞,注入点url:
在其后添加'and1=2'后页面报错啦
接下来用sqlmap跑下,注入方式:Get 参数:id.得到两个数据库
对hcgy操作,看看有没管理员之类的,
里面有6张表
有user再来一代码查看下列
结果如下
password!!!最后碰下运气,看看密码能跑出来吗?
密码明文,nickname是?????这里乱码?好了,没再深入。密码加密啊,亲爱的
黑龙江省城市规划勘测设计研究院某分站存在sql注入漏洞,注入点url:
在其后添加'and1=2'后页面报错啦
接下来用sqlmap跑下,注入方式:Get 参数:id.得到两个数据库
对hcgy操作,看看有没管理员之类的,
里面有6张表
有user再来一代码查看下列
结果如下
password!!!最后碰下运气,看看密码能跑出来吗?
密码明文,nickname是?????这里乱码?亲爱的,密码别再忘加密了