一次不完全的安全檢測
昨天在羣上某午飯說他們公司網站被掛馬,問怎麼辦?別人怎麼進去的?如何防?
昨天和他說了一下,叫他用Acunetix Web Vulnerability Scanner掃了下,竟然沒發現注入點,只發現XSS漏洞和MYSQL軟件漏洞。不過我手工找到一個。
今天下午看了一上網站,把注入點放到panligon跑一下,字符型注入,但不能UNION,也讀寫不了文件,MYSQL用戶。後來還是用手工試一下,基實是可以UNION的,就是用/*結尾,印象中panligon是用--結尾所以不行。
而且能讀文件,主站是jsp,論壇是 discuz,於是讀apache 配置,得到discuz論壇路徑,在一個可寫目錄 select into outfile出一個一句話馬,再上傳一個馬,搞定
由於是非授權檢測,所以沒有再深入
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
職場上,不知道這些,活該工資比人低一倍
dengjigong
2020-07-07 22:41:25
你介意別人修改你的代碼嗎?
三笑咖啡
2020-07-07 19:53:26
項目經理只能考PMP嗎?最全的證書信息分享給你們
逸尘谈PM
2020-07-07 15:46:30
讓我思潮翻滾的IBM面試內容
huagong_adu
2020-07-07 14:51:24
假話全不說,真話不全說---------《程序員筆試面試寶典》
love-xiao-forever
2020-07-07 06:38:44
學會這些,不做委屈的項目經理
逸尘谈PM
2020-07-07 01:06:24
什麼纔是真正的項目團隊,我來告訴你需要做哪些
逸尘谈PM
2020-07-07 01:06:14
公司爲招大廠程序員,把老員工辭掉,一個月後公司炸了
全栈工程师老黄
2020-07-07 00:41:35
互聯網現實生活:在大公司做程序員 vs 在小公司做程序員
全栈工程师老黄
2020-07-07 00:41:35
程序員不願意996工作制,老闆建議離婚!第二天後:我離職吧
全栈工程师老黄
2020-07-07 00:41:35
程序員自曝:去事業單位後每晚9點週六也加班,結果被領導談話
全栈工程师老黄
2020-07-07 00:41:35
程序員被辭退,臨走時把新員工辦公桌擦一遍,老闆:交5萬罰款
全栈工程师老黄
2020-07-07 00:41:35
【五方面保養電腦延長壽命】
南山养鹿人
2020-07-06 16:06:57
【兩方面正確愛護我們的鍵盤與電源】
南山养鹿人
2020-07-06 16:06:57