广东省通信管理局某系统SQL注入
广东省通信管理局下面的
广东省增值业务数据报送系统
广东省通信管理局数据报送系统
都存在SQL注入,进入系统后,可以获取敏感信息,数据库名,字段,值等。可以执行多SQL语句。
没有测试其他比如建立webshell之类的尝试。
首先是利用 1'or'1'='1 登录其中一个系统,权限还是superuser
图
另一个系统
接下来图证明可以爆数据库名,当前sql链接的用户名,和表名以及字段名,
另外一个注入点
修复方案:
修复注入点,不要依赖那个js的登录验证。