- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全
ThinkPHP 3.2.3 高危警报:UPDATE注入漏洞复现
漏洞影响版本范围:ThinkPHP≤3.2.3漏洞分析ThinkPHP3.2.3在数据库UPDATE操作中存在SQL注入漏洞,主要源于where条件处理中的bind表达式不当拼接,以及后续执行阶段的占位符替换机制 该漏洞允许攻击者通过控制bind表达式的参数名,覆盖框架内部的顺序绑定参数,导致恶意SQL片段被注入到WHERE子句中执行。漏洞复现以下是基于官方开发方式的完整调用链,从输入到SQL执行。 3.save方法核心条件分析核心条件if(! 最终return$this->execute($sql,...)执行。 造成注入。12.注意事项注入成功,注意字段匹配,data要修改的数据的字段要匹配表字段。
42620编辑于 2025-12-06 - 来自专栏网络攻防实战知识交流
easycms 7.7.4 后台sql注入漏洞复现
环境 windows 11 phpstudy CmsEasy 7.7.4 代码分析 漏洞点:文件lib/admin/database_admin.php中的函数dorestore_action()方法。 语句数组sqls,并遍历带入 由此可以得到,如果能够控制某文件内容,将目录传递给dorestore_action()方法,即可实现sql语句的执行。 测试头像上传功能,上传内容为sql语句的图片。定位代码在lib/default/tool_act.php的uploadimage3_action()方法。 语句的关键词进行匹配,可以上传内容为sql语句的图片。 /cn/upload/images/202111 提取出相关图片 提取出构造的sql语句 执行成功,页面出现报错信息。
2.5K10发布于 2021-12-01 - 来自专栏网络信息安全
复现cnvd收录的SQl注入漏洞
SQl注入漏洞的复现 出于安全文章中不出现任何关于漏洞的真实url (1)我选择的扫描器是xary,报红如下: (2)使用sqlmap开始跑跑跑 思路:我们要做的就是搞到管理员的用户名和密码,因为不同公司的数据库存放的信息不同 步骤: a、检测是否有注入 b、跑数据库名 c、跑表名 d、跑字段 e、跑字段中的数据 注:我们最后的到的用户名密码可能是经过加密的,我们可以试着用md5和base64来解密一下,其实到这步的时候 (3)使用御剑找出后门 (4)安全学的好,局子进的早 当我们解密完成之后,建议大家提交,就不要登录到人家公司的后台了 (5)附图 (6)关于对刚入门的小白帽的建议 建议大家还是先充实自己的知识 ,因为挖漏洞其实是一个机械化的过程,真正学到的东西并不比学习来的多,我们可以把挖掘漏洞当做一个致知于行的过程,最后希望大家不要走入黑市,一定要乖乖的当个可爱的小白帽子哦。
44210编辑于 2024-03-12 - 来自专栏Cyber Security
【漏洞复现】用友NC querygoodsgridbycode 前台SQL注入漏洞
0x00 漏洞描述 用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。这一系列产品基于全球最新的互联网技术、云计算技术和移动应用技术,旨在帮助企业创新管理模式、引领商业变革。 用友NC 的querygoodsgridbycode.json接口存在SQL注入漏洞,攻击者能够利用该漏洞获取敏感数据。 0x01 测绘工具 fofa: app=“用友-UFIDA-NC” 0x02 漏洞复现 GET /ecp/productonsale/querygoodsgridbycode.json? : 1 Connection: close Upgrade-Insecure-Requests: 1 0x03 Nuclei检测脚本 id: yongyou-querygoodsgridbycode-SQL info: name: 用友NC系统querygoodsgridbycode接口的code参数存在SQL注入漏洞 author: admin severity: high metadata
70510编辑于 2024-08-11 - 来自专栏红队蓝军
最全thinkphp 3.x sql注入分析
find SQL注入
'); } 1.5 find注入 第一步: 先分析用where数组实现sql注入的执行流程:(当然漏洞步骤where数组这一处) public function where SQL注入'); } 这里打印出了数据库名 第二步: 找到漏洞触犯点,缩小位置: 进入函数: 进入了D函数,但我们找到,D函数是实例化一个对象,因此本身和 sql注入没太大关系,直接跳过 跳过D函数后,来到了find函数: find函数可以传入数组,这十分关键,继续再find函数中找漏洞点 可以看到有一个resultst的变量,很可能是sql ,实验如下: 因此这里我们parseTable的返回值我们就可以控制了: 在这里我们并没有使用where也能进行sql注入,说明parseTable函数也存在漏洞 payload: http 函数: 可以看到已经被三元表达式写死了,因此parseDistinct不存在漏洞 3.parseField 依旧可控 payload: http://localhost/?1.6K10编辑于 2022-05-17 - 来自专栏Cyber Security
【漏洞复现】用友GPR-U8 slbmbygr SQL注入漏洞
一、漏洞描述 用友GRP-U8是面向政府及行政事业单位的财政管理应用。北京用友政务软件有限公司GRP-U8 SQL注入漏洞。 ! [在这里插入图片描述](https://img-blog.csdnimg.cn/fe260ff4d6d14abeb0e576e4bbf3c385.png 二、网络空间搜索引擎搜索 fofa查询语法 app ="用友-GRP-U8" 三、漏洞利用 POC:拼接/u8qx/slbmbygr.jsp? gsdm=1 访问 漏洞存在 漏洞不存在 使用SQLmap进行注入利用 sqlmap -u "http://xxxx:xxxx/u8qx/slbmbygr.jsp?
75410编辑于 2024-07-18 - 来自专栏Web安全技术
记一次SQL注入的漏洞复现
很多小伙伴不知道漏洞复现怎么写,今天给大家看看我的......大佬勿喷 43N}@QV(0W~0WE}KAEXA(YC.png HK7G175K08ZMV}KZQMJL[CO.png 至于我为什么没有继续下去 ,大家可以去读一下白帽子行为规范,漏洞复现只需要证明存在该漏洞就行了
74500发布于 2020-05-01 - 来自专栏安全小圈
CVE-2020-7471 Django SQL注入漏洞复现
0x01漏洞简介 CVE-2020-7471:通过StringAgg(分隔符)的潜在SQL注入 django.contrib.postgres.aggregates.StringAgg聚合函数使用适当设计的定界符进行了 SQL注入。 ·复现靶机kalil 2019.3 ·复现Django版本 3.0.2 一、环境部署 通过git先获取到漏洞的环境与poc git clone https://github.com/Saferman/ 可以看到这里是空的,那么不要激动,经过我分析之后发现本来应该要在 python3 manage.py makemigrations vul_app 这一步的时候要执行sql语句的但是我发现migrations 到这里本次复现就结束了,下周会分析CVE-2020-7471的漏洞成因。
1.2K10发布于 2020-05-18 - 来自专栏yulate的网络安全技术分析
通达OA v11.10 sql注入漏洞复现
某达oa代码审计 (qq.com) 影响版本:通达OA v11.10版 服务器端 一、export_data.php 延迟注入 1、代码审计 漏洞定位:/general/system/approve_center 通达OA v11.10中存在全局过滤器,其内容如下所示: function sql_injection($db_string) { $clean = ""; $error = ""; { $fail = true; $error = "general_log"; } if ($fail) { echo _("不安全的SQL 将116改为115时延时注入就会失败。 3、payload 写个脚本来盲注获取管理员的session import re from turtle import st import requests import datetime import
3.8K20编辑于 2023-05-02 - 来自专栏Timeline Sec
CVE-2020-7471:Django SQL注入漏洞复现
0x02 漏洞概述 编号:CVE-2020-7471 2020年2月3日,Django官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞。 攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 -m pip install django==2.2 安装 postgreSQL 数据库 我复现所使用的是windows环境,且下载对应exe安装包时报错 ? 接下来就是初始化数据了 0x05 漏洞复现 POC下载: https://github.com/Saferman/CVE-2020-7471 下载好后,我们使用pycharm打开进行相应配置。 此时证明我们脚本中的注入成功了 脚本中的注入使用的了LIMIT 1 OFFSET 1 0x06 漏洞分析 首先我们来看看这个语句: Info.objects.all().values('gender
1.1K50发布于 2020-12-16 - 来自专栏红蓝对抗
CVE-2021-35042Django SQL注入漏洞复现
漏洞描述 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击 综合评价 高危,最终造成服务器敏感信息泄露 影响版本 Django 3.2 Django 3.1 安全版本 Django >= 3.2.5 Django >= 3.1.13 漏洞复现 搭建环境 https 打开以下 URL 以加载示例数据: http://localhost:8000/load_example_data 然后转到易受攻击的页面 http://localhost:8000/users/ 漏洞防御 及时更新到最新版本 链接 : https://www.djangoproject.com/weblog/2021/jul/01/security-releases/ 这个漏洞复现因为网络环境问题卡了好久
1.3K30编辑于 2022-06-30 - 来自专栏中国白客联盟
WeCenter v3.3.4前台SQL注入漏洞复现
跟入query,直接拼接可造成sql注入漏洞: ? 现在需要的就是找个反序列化的利用点。这里提下常见的反序列化的利用: __construct():当对象创建(new)时会自动调用。 3.php做生成phar文件,生成后后缀可随便,我改成了jpg: ? 4.php做触发phar反序列化操作: ? 那我们现在理下攻击思路: 1、生成恶意cookie - $WXConnect 2、binding_action取$WXConnect赋给bind_account 3、bind_account得到$WXConnect 把读库的结果赋值给associate_remote_avatar 6、associate_remote_avatar把取到的值给file_get_contents,触发phar反序列化 我们先根据一开始提到的出现的漏洞类生成恶意的
1.8K10发布于 2020-02-18 - 来自专栏安全漏洞环境学习
ThinkPHP 5.0.0~5.0.23 RCE 漏洞复现
2019 年 1 月 11 日,360CERT 发现某安全社区出现关于 ThinkPHP5 RCE 漏洞的威胁情报,不久之后 ThinkPHP5 官方与 GitHub 发布更新。 该更新修复了一处严重漏洞,该漏洞可导致远程命令代码执行。 0X2 漏洞分析 漏洞主要出现在 ThinkPHPRequest 类的 method 方法中(thinkphp/library/think/Request.php) Request 类可以实现对 HTTP 0X3 漏洞利用 抓包复现,完整的数据是: _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id ? 成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。目前,该漏洞的漏洞验证代码已在互联网上公开,近期被利用的可能性较大。请尽快修复。
6.4K30发布于 2019-09-24 - 来自专栏Cyber Security
【漏洞复现】泛微e-cology9 WorkflowServiceXml SQL注入漏洞
漏洞名称 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 公开时间 2024-07-10 威胁类型 命令执行 漏洞描述 在默认配置下,未授权攻击者可利用该漏洞执行任意SQL 影响范围 泛微e-cology9 < 10.64.1 漏洞复现 POST /services/WorkflowServiceXml HTTP/1.1 Host: x.x.x.x Content-Type > </soapenv:Body> </soapenv:Envelope> nuclei脚本 id: 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 info: name: 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 author: whgojp severity: info description: 在默认配置下, 未授权攻击者可利用该漏洞执行任意SQL语句,从而造成任意命令执行 http: - raw: - | POST /services/WorkflowServiceXml
2K10编辑于 2024-07-18 - 来自专栏网络安全自修室
vulhub之thinkphp系列漏洞复现
2、内容速览 在vulhub官网中搜到4个与thinkphp相关环境,于是都复现下 0x00 前言 今天来学习一下thinkphp组合拳漏洞复现 --学如逆水行舟,不进则退 0x01 Thinkphp 2-RCE 漏洞简介: ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由,导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 影响版本:Thinkphp 2.x, ThinkPHP 3.0版本(Lite模式) 开始复现: 1.在vulhub中启动环境(此处省略),出现以下图片说明搭建成功 2.构造payload验证漏洞是否存在 s=/index/index/name/$%7B@phpinfo()%7D 3.证明漏洞存在后,构造payload进行一句话木马写入(在url处拼接即可) ? in-sqlinjection 漏洞简介:在 Builder 类的 parseData 方法中,由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。
96610编辑于 2024-03-01 - 来自专栏Cyber Security
【漏洞复现】用友NC Cloud系统queryPsnInfo接口SQL注入
0x00 漏洞描述 用友NC Cloud存是一款大型企业数字化平台。 在受影响的版本中,攻击者可以通过未授权访问 /ncchr/pm/obj/queryPsnInfo 接口,利用 staffid 参数的缺乏校验,通过传入恶意的 SQL 语句进行命令注入,从而控制服务器。 影响范围 尚不明确 0x01 测绘工具 FOFA:app=“用友-NC-Cloud” 0x02 漏洞复现 GET /ncchr/pm/obj/queryPsnInfo? 注入 info: name: 用友NC Cloud系统queryPsnInfo接口SQL注入 author: admin severity: high description: 攻击者可以通过未授权访问 /ncchr/pm/obj/queryPsnInfo 接口,利用 staffid 参数的缺乏校验,通过传入恶意的 SQL 语句进行命令注入,从而控制服务器。
82710编辑于 2024-08-11 - 来自专栏玄魂工作室
CVE-2019-14234:Django JSONField SQL注入漏洞复现
0x01 漏洞概述 ---- 该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。 该漏洞的出现的原因在于Django中JSONField类的实现,Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。 其中key_name是可控的字符串,最终生成的语句是WHERE (field->'[key_name]') = 'value',因此可以进行SQL注入。 0x04 漏洞利用 ---- 通过对代码的分析,可以知道如果在你的Django中使用了JSONField并且查询的“键名”可控,就可以进行SQL注入 访问http://ip:8000/admin 输入用户名 可以看到已经注入成功,并且可以看到构造的SQL语句 为进一步验证注入语句,我们继续构造 http://ip:8000/admin/vuln/collection/?
2.8K00发布于 2019-12-05 - 来自专栏离别歌 - 信息安全与代码审计
ThinkPHP5 SQL注入漏洞 && PDO真伪预处理分析
刚才先知分享了一个漏洞,文中说到这是一个信息泄露漏洞,但经过我的分析,除了泄露信息以外,这里其实是一个(鸡肋)SQL注入漏洞,似乎是一个不允许子查询的SQL注入点。 漏洞上下文如下: <? 注入漏洞。 文中已有分析,我就不多说了,但说一下为什么这是一个SQL注入漏洞。IN操作代码如下: <?php ... $bindName = $bindName ? 但如果value是一个数组的情况下,这里会遍历value,并将k拼接进 也就是说,我们控制了预编译SQL语句中的键名,也就说我们控制了预编译的SQL语句,这理论上是一个SQL注入漏洞。 所以,终上所述,我构造如下POC,即可利用报错注入,获取user()信息: http://localhost/thinkphp5/public/index.php?
2.6K20发布于 2020-10-15 - 来自专栏渗透测试专栏
渗透测试SQL注入漏洞原理与验证(3)——SQL报错注入
报错注入 通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。 报错注入的前提条件 Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上,后台未对一些具有报错功能的函数(如extractvalue、updatexml等)进行过滤。 ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual))' 汇总 SQL 报错注入实例 此处以SQLi-Labs的less-1为例,介绍两种方式,利用具有报错功能的函数实现注入。 利用extractvalue()函数进行报错注入 利用floor()函数进行报错注入 本文部分图片摘自深信服安全服务认证工程师课程课件中,为方便个人学习使用,勿作商用!!!!
96620编辑于 2024-09-27 - 来自专栏用户9703952的专栏
sql注入漏洞
sql注入漏洞 对information_shcema的理解 shcema可以看作是房间 table_schema是用来存放table表的房间,是数据库 table_name是表的名字 table_type 判断是否有注入点 1 and 1=1正确 1 and 1=2不正确,所以可以判断是整数型注入 判断字段数 order by 1,2,3,4…. SQL查询语句中导致的注入 二次注入的原理,在第一次进行数据库插入数据的时候,使用了 addslashes 、get_magic_quotes_gpc、mysql_escape_string、mysql_real_escape_string 在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。 ,看看是否有可控变量,没有可控变量就是死sql语句,无法进行sql注入 函数查询 找到具体函数之后,右键定位函数使用的位置 步骤 搜索select 找到变量 找到变量调用函数 右键定位函数调用位置 看看页面和数据库的互动
77110编辑于 2024-02-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号