查看: 55720|回复: 18

记一次MYSQL注入(科普文)

[复制链接]
  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2016-6-15 13:50:56 | 显示全部楼层 |阅读模式
    一朋友给的一个测试站点。存在报错注入,和联合查询。然后就有了这篇文章。小菜分享,大牛勿喷。
    网站存在waf,然后,算了直接上图吧!
    QQ图片20160614124916.png
    QQ图片20160614125037.png
    QQ图片20160614125341.png
    QQ图片20160614125506.png 这个是mysql>5的数据库的一种特性。百度一下,你就知道。
    QQ图片20160614125725.png
    QQ图片20160614125944.png
    QQ图片20160614130419.png
    QQ图片20160614130605.png 这个步骤是破解出不了表的关键。
    QQ图片20160614130741.png
    QQ图片20160614131029.png hex(),与unhex()两个函数的使用。
    QQ图片20160614131117.png 联合注入到此就没有了。只是一个思路。

    然后也随便附上报错注入吧:运用内置函数updatexml()而产生的。
    QQ图片20160614131423.png
    QQ图片20160614131737.png
    QQ图片20160614131938.png
    这其实只是一个注入的思路和大家分享。大牛勿喷。
    但自己觉得这次的经历对我来说是一次学习,因为其中的过程并不是那么水到渠成的。

    评分

    参与人数 3i币 +18 收起 理由
    邪影复仇 + 4 还是蛮支持原创的。
    clocks + 2 支持原创
    90_ + 12

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-6-15 14:33:58 | 显示全部楼层
    是哪家waf?关键词注释一下就绕过了。

    点评

    垃圾站,大牛不必放在心上,只是科普文。  详情 回复 发表于 2016-6-15 17:48
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 17:48:43 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    sladjfksld 发表于 2016-6-15 14:33
    是哪家waf?关键词注释一下就绕过了。

    垃圾站,大牛不必放在心上,只是科普文。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2016-6-15 20:39:04 | 显示全部楼层
    老实说你是男的女的?

    点评

    你有点出息行不?亏你还是个版主,能不能像我一样成熟点  详情 回复 发表于 2016-6-23 20:09
    我肯定是男的啊!头像是我女票。  详情 回复 发表于 2016-6-15 20:58
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 20:58:48 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    昊情· 发表于 2016-6-15 20:39
    老实说你是男的女的?

    我肯定是男的啊!头像是我女票。

    点评

    woqu  详情 回复 发表于 2016-6-15 22:59
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-8-2 09:32
  • 签到天数: 227 天

    [LV.7]常住居民III

    发表于 2016-6-15 21:17:34 | 显示全部楼层
    手注牛,膜拜一下,听说过绕狗的手注方法但是想询问哪里有文章或视频可以系统的学习一下,比如你说mysql5以上版本用你的这种方法,那么其他版本呢?有没有推荐学习的教程?期待你的更多好文。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 22:09:30 | 显示全部楼层
    H.U.C-Star 发表于 2016-6-15 21:17
    手注牛,膜拜一下,听说过绕狗的手注方法但是想询问哪里有文章或视频可以系统的学习一下,比如你说mysql5以 ...

    兄弟,不是,绕过完全是慢慢尝试的,只是这个网站刚好能用这个办法!这是一个mysql数据库5.0以上的一个注释的特性,刚好拦截的没有识别到!就绕过了!绕过安全狗应该是没有办法系统学习的!有时的靠一点运气!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2016-6-15 22:59:44 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    w2015 发表于 2016-6-15 20:58
    我肯定是男的啊!头像是我女票。

    woqu
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 23:43:09 | 显示全部楼层
    昊情· 发表于 2016-6-15 22:59
    woqu


    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-9-1 13:44
  • 签到天数: 68 天

    [LV.6]常住居民II

    发表于 2016-6-16 09:26:44 | 显示全部楼层
    还在学习中
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 21:22 , Processed in 0.061741 second(s), 19 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部