进攻标题国家测绘地理信息局某系统的一处突破可导致内网被渗透 相关厂商国家测绘地理信息局 进攻作者S4kur4 提交时间2016-05-31 23:44 公开时间2016-07-17 14:50 进攻类型SQL注射防御 危害等级高 自评排名15 进攻状态已交由第三方合作机构(cncert国家互联网应急中心)处理 |
进攻详情
国家测绘地理信息局基准项目财务系统:
**。**。**。**:1309
那里的大量认证报表注入,可直接绕过。里面有大量的财务报表信息,具体有多少贵局应该清楚,就不多余述了。
注入参数用户名:
数据库9个,权限为sa:
由于数据库开启了xp_cmdshell,直接得到一个shell:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。