记一次闭合式注入。
一朋友给的站,sqlmap检测不出来。小菜教程,大牛勿喷。重在分享。看到这个基本就能确定怎么注入了。分析如下:
看懂了吧!/*就是将我们原来的值带入了参数查询,而且他应该存在函数,就是
当查询不到参数的值时,就保持原来的那个链接跳转 ,那么我们将原来的参数闭合,在中间插入语句,将后面的'闭合就好了。
然后下面就是常规的mysql>5以上的爆库了。
这个就不多说了。但是爆数据的时候出现了不同:
并不能成功爆出数据。然后:
在后面加入注释就ok了。什么原因就望大大们解释下了。
只是一种注入的思路的分享,不过感觉这种问题还是比较常见吧!就是注入语句当成了参数查询,却不会
报错,你把参数闭合就可以了。小菜分享,大牛勿喷。
附:希望哪位大大可以解释下那个加--注释的问题。
把后面的语句注释掉,++等也可以
RE: 记一次闭合式注入。
echotxl 发表于 2016-5-28 20:51把后面的语句注释掉,++等也可以
表哥知道为什么要注释掉?
页:
[1]