1.sql注入,多个数据库
2.可执行sql命令
3.可读取文件
之前的修复的很不彻底...
详细说明:貌似没修理完,很多了
注入信息:
Web Server: Apache
DB Server: MySQL
1.查询出来跨库成功,4个;admin_user,10个,其他数据,字段真不少...
2.mysql 查询select @@version:(其他也支持)
3.读取文件,是可以的
修复方案:
1. information_schema这个数据库做下处理吧
2. 数据库权限设置一下
3. 屏蔽数据库中危险的组件
.....
作者 upload 第二个
Data Bases: information_schema
branchdb
test
一些管理员密码
xcar_user:
baibanadmin 3&dk9m&bFya3BHP98320
xcar_blog_admin:
admin uvwxyz
admin_user:
id name pass groupid
1 ggicc g_i_c_x 9
2 user user_abis 3
3 xiaomin_bak xiaomin_abis 2
5 byf byf_fyb 3
8 haozhi hao_1zhi
9 kanshale_xzzz
94815 jersonzhow xcar_88508031
94816 _bak zzzzzz 1
94817 wuwei_bak wuwei_10 3
ads_config:
zby zbyglmmgo
修复方案: 修补 漏洞 ,并修改可能影响安全的管理账户和密码
作者 y35u
查看更多关于爱卡汽车网活动分站两个SQL注射 - 网站安全 - 自的详细内容...