对某传销币的一次渗透测试

我的朋友无意间被传销币割韭菜了问我能不能帮帮他

打开网站 看看手机号包 当我想看看会不会存在短信轰炸漏洞的时候 他居然报错了

我们打开Burp 抓个包看看 丢一个引号看看sql语句

存在报错注入 那我们来构造语句

构造语句发现存在宝塔WAF 最后请教了一波大佬说可以使用垃圾字符填充绕过宝塔waf

构造完语句发现能完美绕过ok 我们爆一下库名和表名

由于Thinkcmf 加密方式解不开 这次渗透测试就到这里吧 技术有限 各位大佬多多包涵

下载不了

我不知道怎么回事耶 第一次发帖

有百度网盘吗?

有的

下载不了的大佬可以在百度网盘下载 第一次发帖多多包涵吧
链接:https://pan.baidu.com/s/1UVQs0IQD2yPDFUj5Px_3Wg
提取码:pz3k

谢谢分享

下次直接把内容贴出来,这次我帮你贴了

好的谢谢大佬

分享嘛 就别嫌太麻烦 而且其实你有图片很容易 直接复制到编辑器就可以了 不需要一个一个点上传

懂了 了解 第一次发帖

1 Like

这就没办法了?注入都有了,看看注入类型能不能update一条数据进去。
update users set user_pass='###57f326ce1695c013d72b2789efc49be7' where user_login='admin'

我试过了 不支持的 大佬 不然我也不会这样说