admin 发表于 2022-3-31 04:17:34

入侵汉王签到机

<p class="MsoNormal">
        汉王人脸考勤管理系统<span lang="EN-US"> Check SQL</span>注入漏洞<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X001</span>前言<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X002 </span>漏洞影响<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X003 </span>漏洞原理<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X004 </span>漏洞复现<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X041 </span>空间搜索寻找目标<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X041 sql</span>注入&nbsp;
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X001</span>前言<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        汉王人脸考勤管理系统简化版是是汉王人脸通考勤机的配套软件,根据部分公司行政管理需求,简化系统复杂程度,使最长用的功能简单化,满足客户的日常基本使用需要。<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;</o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X002 </span>漏洞影响<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        汉王人脸考勤管理系统存在<span lang="EN-US">SQL</span>注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;</o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X003 </span>漏洞原理<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        未过滤参数从而存在<span lang="EN-US">sql</span>注入<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;</o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X004 </span>漏洞复现<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X041 </span>空间搜索寻找目标<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        搜索语法:<span lang="EN-US">title=""</span>汉王人脸考勤管理系统<span lang="EN-US">""<o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">1<o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;<img src="https://img-blog.csdnimg.cn/82f6b6ce8c3b4dbd9f7b102c694f5a22.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RVQU5ZVTIz,size_16,color_FFFFFF,t_70" alt="在这里插入图片描述" /></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;</o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">0X041 sql</span>注入<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        在登陆入口输入用户名密码并进行抓包。<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;<img src="https://img-blog.csdnimg.cn/479818c004cb434ab2b53881e38ca59d.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RVQU5ZVTIz,size_16,color_FFFFFF,t_70" alt="在这里插入图片描述" /></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US">strName</span>为注入点。<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;<img src="https://img-blog.csdnimg.cn/38dea70ede07489fa39fbe22ec30fd88.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RVQU5ZVTIz,size_16,color_FFFFFF,t_70" alt="在这里插入图片描述" /></o:p></span>
</p>
<p class="MsoNormal">
        使用<span lang="EN-US">sqlmap</span>攻击<span lang="EN-US"><o:p></o:p></span>
</p>
<p class="MsoNormal">
        <span lang="EN-US"><o:p>&nbsp;<img src="https://img-blog.csdnimg.cn/b9b2290e86b24536aaa5892d95741d73.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RVQU5ZVTIz,size_16,color_FFFFFF,t_70" alt="在这里插入图片描述" /></o:p></span>
</p>
<br />
页: [1]
查看完整版本: 入侵汉王签到机