不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限。
存在漏洞的网站:
手工测试存在注入点:
但是网站有360保护,没法脱裤,必须想办法绕过:
360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过。于是在
网上搜索,终于在netcraft上找到:
源站IP为: 222.210.108.213
于是直接上sqlmap开炮:
跑出数据库,说明绕过360可以脱裤了。用户为root,还是弱口令。
试试跑数据库名:
还可以直接读敏感文件:
解决方案:
隐藏服务器IP,加强网站自身过滤