黑色海岸线论坛 - Powered by Discuz! Board

标题: 由Jsp+Mysql注入到root权限的全程展完全版 [打印本页]

作者: 孤舟独帆 时间: 2005-11-5 13:50 标题: 由Jsp+Mysql注入到root权限的全程展完全版

[color=#483D8B]由Jsp+Mysql注入到root权限的全程展完全版作者：pingping 文章来源：网络很多人可能都知道asp,php的编程要防止sql注入漏洞,而并不知道jsp编程同样也需要防备sql注入漏洞.其实,一旦jsp代码有注入漏洞,将直接影响到整个系统的安全。本文就是主要展示一下我的一次JSP+MYSQL注入导出webshell的过程。 www.***.***.cn是国内某一个著名研究所的网站，我们在这里对其进行善意的测试。当然，在写此文之前我已经将漏洞通知了网站管理员.并对文中所有的图片进行了处理,还粘贴了个我大三的时候自己发明的一个数学公式的图,希望让大家同时可以领会到数学更是博大精深(呵呵,当然研究数学更是人间正道). 1.寻找注入点进入其首页，在新闻里面随便点了个新闻浏览，习惯地在其地址后面加个单引号’，链接上去后出现如图1所示。 (图13) 确实成功了!

作者: 丢失的蓝色 时间: 2005-11-5 19:53 标题: 由Jsp+Mysql注入到root权限的全程展完全版

恩。不错。如果做成动画就更好了

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)