广东省通信管理局某系统SQL注入
广东省通信管理局下面的 广东省增值业务数据报送系统 广东省通信管理局数据报送系统 都存在SQL注入,进入系统后,可以获取敏感信息,数据库名,字段,值等。可以执行多SQL语句。 没有测试其他比如建立webshell之类的尝试。
首先是利用 1'or'1'='1 登录其中一个系统,权限还是superuser 图
另一个系统
接下来图证明可以爆数据库名,当前sql链接的用户名,和表名以及字段名,
另外一个注入点
修复注入点,不要依赖那个js的登录验证。