360网站卫士SQL注入绕过案例一个

不要以为用了360就可以高枕无忧，直接在netcraft的site_report中找到源站服务器IP，直接SQL脱裤，甚至可获取服务器权限。

存在漏洞的网站：



手工测试存在注入点：



但是网站有360保护，没法脱裤，必须想办法绕过：



360网站卫士都是劫持域名进行流量清洗，但是如果源站服务器防护的不好可能存在绕过。于是在

网上搜索，终于在netcraft上找到：



源站IP为： 222.210.108.213

于是直接上sqlmap开炮：



跑出数据库，说明绕过360可以脱裤了。用户为root，还是弱口令。





试试跑数据库名：







还可以直接读敏感文件：



解决方案：


隐藏服务器IP，加强网站自身过滤