码迷,mamicode.com
首页 > 数据库 > 详细

[12期]Mysql案例分析

时间:2019-05-05 01:09:09      阅读:162      评论:0      收藏:0      [点我收藏+]

标签:网站   去掉   mic   菜刀   nbsp   编辑   16进制   火狐   ima   

腾讯视频源:http://v.qq.com/vplus/0ef1d6371912bf6d083dce956f48556c

 

访问新闻版块,去掉?ID=X的参数以后报错

技术图片

 

参数去掉,没有报错,显示正常,说明这个页面代码是没有问题的

技术图片

 

 

 1=1 1=2发现页面不仅回显,而且不一样  存在注入漏洞

技术图片

 

 技术图片

 

使用hack bar 黑客工具条     火狐浏览器

技术图片

 

 这里通过css 回显内容             可以通过order by 来测试数据库到底有几处可以回显给我们看

技术图片

 

 使用二分法

技术图片

 

 使用联合查询      发现很多数字的地方都可以回显

技术图片

 

使用google hack 语法 爆出绝对路径

技术图片

 

 编辑一下路径,然后进行16进制的编译,放到函数中

技术图片

 

 技术图片

 

 

 直接爆出网站源代码,查看源代码,再构造路径看其他文件

技术图片

 

 上一句话

技术图片

 

 使用一句话工具进行连接   中国菜刀

技术图片

 

[12期]Mysql案例分析

标签:网站   去掉   mic   菜刀   nbsp   编辑   16进制   火狐   ima   

原文地址:https://www.cnblogs.com/sec875/p/10810607.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!