突破Access防注入系統(tǒng)提權(quán)

發(fā)布時間：2020-07-18 12:09:52 來源：網(wǎng)絡(luò) 閱讀：1555 作者：freshman411 欄目：安全技術(shù)

注入點：

http://www..com/shownews.asp?id=471

查看是否能注入：

不能注入，有防注入系統(tǒng)，利用工具突破?。?/p>

注入中轉(zhuǎn)：

突破Access防注入系統(tǒng)提權(quán)

用工具掃掃：

突破Access防注入系統(tǒng)提權(quán)

爆出了用戶名和密碼（md5加密），然后找后臺，解密md5并登陸后臺

突破Access防注入系統(tǒng)提權(quán)

進(jìn)入后臺，找網(wǎng)站設(shè)置，添加上傳文件類型：

突破Access防注入系統(tǒng)提權(quán)

訪問路徑：http://XXX.com/UploadFiles/20144221959209.cer，如下圖所示，輸入密碼：

突破Access防注入系統(tǒng)提權(quán)

登陸以后如圖所示：

突破Access防注入系統(tǒng)提權(quán)

二、手工注入：

突破Access防注入系統(tǒng)提權(quán)

查看是否能注入：' 1=1 1=2

突破Access防注入系統(tǒng)提權(quán)

查看列長度：

突破Access防注入系統(tǒng)提權(quán)

猜表名：網(wǎng)頁顯示正常說明表存在

突破Access防注入系統(tǒng)提權(quán)

猜表字段：網(wǎng)頁顯示正常說明字段存在

突破Access防注入系統(tǒng)提權(quán)

查看顯示位：

突破Access防注入系統(tǒng)提權(quán)

爆字段內(nèi)容：

突破Access防注入系統(tǒng)提權(quán)

向AI問一下細(xì)節(jié)

猜你喜歡