Loading

摘要: 记一道堆叠注入的题。也是刷BUU的第一道题。 存在注入的。正常查询字段数,字段数为2。在联合查询的时候给了新提示 正则匹配过滤掉了经常使用的查询关键字,但是并没有禁用show,那么可以试下堆叠查询。 暴出了一些数据库。接着查表。 显示有两张表。试着查看字段 ?inject=0';show colum 阅读全文
posted @ 2020-05-12 18:13 Hel10 阅读(440) 评论(0) 推荐(0) 编辑
摘要: 原因 sql语句中insert和select对长度和空格的处理方式差异造成漏洞。 select对参数后面的空格的处理方式是删除,insert只是取规定的最大长度的字符串。 逻辑 1、用 检测输入的用户名,如果存在,说明注册过,则提示用户名已存在。 2、若用户名不存在 ,那么在注册的时候用 将注册的用 阅读全文
posted @ 2020-05-12 18:07 Hel10 阅读(363) 评论(0) 推荐(0) 编辑
摘要: 记一道union注入语句转十六进制的注入题。 这个网站的基本功能就是可以找出跟你用户名相同的注册的人数。 注册登录给了两个显位。 点击check可以显示出有多少人和你用户名相同。 同时在这个页面的源代码里面有提示 电话号码都是数字,在输入字母的时候显示要输入数字,其实很明显这道题是一道注入题。我们可 阅读全文
posted @ 2020-05-12 18:01 Hel10 阅读(251) 评论(0) 推荐(0) 编辑