存档

2015年9月 的存档

对www.360xxxx.com的安全监测

2015年9月23日 10 条评论

说明

本次渗透入侵仅以发现问题为主,未做任何破坏性行为
为了保证目标站点的信息安全,图片中已经打码,以下目标URL用www.360xxxx.com代替
近日闲来无聊,刚好Roland想学习一下安全方面的相关技术思路,在百度上随便找了一个存在注入的站,结果一路坎坷,花了好几小时才撸下服务器,遂记录一下思路

入侵过程

获取信息部分很简单,在URL的各个参数上加上单引号,发现爆出来了路径


拿到了网站的绝对路径

同时确认该站存在注入,在使用sqlmap跑过之后,也是证实了这个想法


然后开始用sqlmap跑库跑表跑数据,跑出来数据一看,吓尿了,居然是明文存储的密码
阅读全文...

分类: 实战入侵 标签: , , ,