每逢佳节倍思亲,挖挖洞,派遣派遣寂寞...
山西介休农商行主站地址:http://**.**.**.**/index.asp
存在SQL注入页面地址(注入参数为class):
http://**.**.**.**/tzlc.asp?class=6&classname=%BD%F0%C8%DA%D6%AA%CA%B6
测试在class后面加个',SQL报错了,怀疑存在注入。
于是听着歌曲,让工具跑跑,一会就有结果了:
数据库是Access的...操作系统windows2003
就跑出来来一个数据库
随便看了下menu的表字段信息,里面包含adminpwd管理员密码,过中秋的就不深入了,吃个月饼去。