会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
SO-CAT
Powered by
博客园
博客园
|
首页
|
新随笔
|
联系
|
订阅
|
管理
2017年3月17日
SQL花式绕过
摘要: 【1】 题目给出过滤了一切,测试得知没有过滤 "\"|and|left|right"等关键字。重要的是不管输入正确与否的SQL句子,总是返回想回的页面,尝试各种方法都是一样的结果。 感觉只能是逻辑绕过。猜测进行验证的代码应该为 目前用户名和密码没有一个知道的。无奈中,发呆好长时间 成功绕过。 use
阅读全文
posted @ 2017-03-17 21:21 SO-CAT
阅读(2108)
评论(0)
推荐(0)
编辑
mysql无逗号注入
摘要: 明天早上满课,然而我三点了还在任性的写代码,真是该剁手,剁手啊… 在一个 ctf比赛中,遇到这样一个注入题: 用户的ip可以用x-forwarded-for来伪造,然后把ip存储到数据库中去,对ip没有进行任何过滤,存在注入,但是有一个限制就是: 用‘,’逗号对ip地址进行分割,仅仅取逗号前面的第一
阅读全文
posted @ 2017-03-17 02:31 SO-CAT
阅读(333)
评论(0)
推荐(0)
编辑