不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限。

存在漏洞的网站:

手工测试存在注入点:

但是网站有360保护,没法脱裤,必须想办法绕过:

360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过。于是在

网上搜索,终于在netcraft上找到:

源站IP为: 222.210.108.213

于是直接上sqlmap开炮:

跑出数据库,说明绕过360可以脱裤了。用户为root,还是弱口令。

试试跑数据库名:

还可以直接读敏感文件:

解决方案:

隐藏服务器IP,加强网站自身过滤

转载于:https://www.cnblogs.com/h4ck0ne/p/5154700.html

360网站卫士SQL注入绕过案例一个相关推荐

  1. Bypass 360主机卫士SQL注入防御(附tamper脚本)

    0x01 前言 在测试过程中,经常会遇到一些主机防护软件,对这方面做了一些尝试,可成功bypass了GET和POST的注入防御,分享一下姿势. 0x02 环境搭建 Windows Server 200 ...

  2. 360网站卫士能防服务器吗,360网站卫士测评

    最近小编的主机商在主机控制后台开通了360网站卫士的功能,在了解了一些关于360网站卫士的功能之后,本站开始试用这款用于保障免受攻击,在开通一周之后,小编就来所说对这款360网站卫士应用的试用感受! ...

  3. 对搜狐 网易和TOM三大门户网站的SQL注入漏洞检测

    分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...

  4. 黑客常用SQL注入绕过技术总结!

    今天给大家再次分享一篇硬核内容,那就是黑客常用的SQL注入绕过技术,还是那句话:我们学渗透技术不是为了攻击别人的系统,而是了解黑客常用的渗透技能,以此来修复我们自己系统中的漏洞,使我们的系统更加健壮, ...

  5. 突破安全狗和360网站卫士

    突破安全狗和360网站卫士 进来蛋疼 肾是疼 可能是测试娃娃测试的太多了. 前几天朋友让我帮他检测下他的网站安全性,网站发来一看.哇靠,又是安全狗,又是360网站卫士,这可怎好. 首先是找到一个可以填 ...

  6. 黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)

    大家好,我是冰河~~ 今天给大家再次分享一篇硬核内容,那就是黑客常用的SQL注入绕过技术,还是那句话:我们学渗透技术不是为了攻击别人的系统,而是了解黑客常用的渗透技能,以此来修复我们自己系统中的漏洞, ...

  7. 实战真实网站的SQL注入

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.发现过程 二.漏洞利用 总结 前言 某建设投资集团股份有限公司网站存在SQL注入 一.发现过程 1.使用百度语法寻 ...

  8. sql注释符注入防御_WAF的SQL注入绕过手段和防御技术

    一.关于SQL注入 SQL注入是一种常见的入侵WEB应用的手法.SQL注入是利用应用系统的编程漏洞和SQL语言的语法特征,改变原始的SQL语句执行逻辑而产生的. 攻击者向Web应用发送精心构造的输入数 ...

  9. 360网站卫士php-dos,360网站卫士的CDN缓存加速功能详解

    之前写过好几篇和360网站卫士相关的博文,也提到过完全开启360网站卫士后,速度可以快到飞.今天就来详细介绍下,如何完全开启360网站卫士的缓存功能,及每一项缓存代表的意义. 在介绍之前,张戈先来段关 ...

最新文章

  1. 人月神话——焦油坑 《读后感》
  2. 017.Zabbix宏介绍
  3. 打算自己做app,你们做过吗?
  4. boost::mp11::mp_power_set相关用法的测试程序
  5. 框架选修课之dom4j解析xml字符串实例
  6. 腰椎患者多运动好,还是多休息好?
  7. redhat和ubuntu系统下挂载ntfs文件系统的方法(转载)
  8. Eclipse用法与技巧——导入工程时报错(already exist in the workspace)
  9. 2月10日 感知器+浅层神经网络+反向传播+tensorflow
  10. 金万维异速联服务器重装,金万维异速联服务器配置说明.doc
  11. HTTP报文结构详解
  12. 深度学习笔试、面试题 一
  13. 【北京-亚运村】这7家公司推荐给你
  14. git restore 和 git restore --staged 的区别
  15. Mysql主从同步报错解决:Fatal error: The slave I/O thread stops because master and slave have equal..
  16. 全年涨幅超200%,来自东南亚的Sea Limited有何魔力?
  17. 基于U盘传播的简单病毒
  18. 红黑树从头至尾插入和删除结点的全程演示图
  19. python整数逆位运算_[python/工具] python z3库学习 减乘除位与运算 ctf一把梭
  20. 打印文件,打印机出error纸张

热门文章

  1. python字典合并 同key_Python 合并两个字典(Dictionary)中相同key的value的方法及示例代码...
  2. 贪官产生的本质是什么——谈谈人性与制度的博弈未来
  3. 双枢轴快速排序与 Arrays.sort()
  4. Spring Boot与Shiro实现权限管理02
  5. 阿里达摩院XR实验室2022校招内推
  6. 2022-2028全球可观察性解决方案套件软件行业调研及趋势分析报告
  7. Raid Card CC(consistency check )
  8. 东邪西毒新编 (转)
  9. iPhone4 iOS 5.1.1 越狱之后必装的插件
  10. F5负载均衡综合实例详解