代码审计
方法一:
数据库SQL监控排查可利用语句定向分析
mxcms:
用seay代码审计系统sql监控:
筛选可能存在变量可控的语句:
在源代码中搜索该语句:
SELECT * FROM ddWHERE ipLIKE
代码分析:
跟进ywdd函数:
跟进getip
发现是xff注入:
方法二:正则表达式-Bluecms源码系统
查询语句:
(update|select|insert|delete|).*?where.*=
跟进getone:
发现ad_id存在注入:
sqlmap测试:
方法三:cnvd 1Day 法:
后台sql:
观察文件名开头找到对应文件:
跟进getreply:
跟进selectmodel:
使用二次url编码绕过:
前台sql:
标签:审计,语句,跟进,代码,sql,方法 来源: https://www.cnblogs.com/rayob1/p/16353751.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。