网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

靶场科普 | SQL实战之BlueCMS

发表时间:2021-09-03 14:41

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳

靶场介绍:

SQL实战之BlueCMS

靶场科普 | SQL实战之BlueCMS


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“SQL实战之BlueCMS”。

一、实验介绍

1. BlueCMS是一款国产的CMS平台,十分灵活、方便,早些年广泛的应用于商业系统、个人博客等。

2. 漏洞产生的原因:

程序在使用getip()函数获取客户端ip时没有严格过滤数据,导致sql注入漏洞,攻击者通过SQL注入漏洞可直接获取到管理员的账号密码,危害严重。

漏洞危害:攻击者通过SQL注入漏洞,可直接获取到管理员的账号密码,或者数据库中其他信息,进一步能获取到Webshell,甚至危害服务器的安全。

靶场科普 | SQL实战之BlueCMS


二、实验目的

1.掌握如何在bluecms平台进行sql注入

2.了解漏洞产生的方式

3.了解漏洞修复方式

三、实验步骤

1.打开实验地址,查看实验环境,登入bluecms平台

2.构造sql语句,进行漏洞利用

四、修复方案

1.过滤转义相关参数

2.使用传参数的方式进行查询

3.使用在线防护产品