首先进入网页Django: the Web framework for perfectionists with deadlines.http://110.40.154.100:8000/
该漏洞的简介
Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。
该漏洞的出现的原因在于Django中JSONField类的实现,Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。
进行admin进行访问用户名
账号和账号密码用django提供的函数处理用户的验证是否存在
在网址输入admin密码随便输入然后bp进行抓包 抓包之后用密码字典进行爆破出之后
账号admin密码a123123123
登入之后进入管理页面
输入后就进入到管理层面了
可以在这里留下自己的足迹
