进入网站后台的方法
网上一直流传的后台绕过验证语句是'or'='or',还有其他语句,例如a' or 'a'='a等,都是先闭合前面,然后构造语句,使到整个SQL语句最终结果为真,我们尝试一下看看
用google就可以快速找到后台页面,语法是:allinurl:adminstrator_login当然,语句是很灵活的,这个大家自己构造,我很快就找到了一个没过滤参数的后台 找一个来试试 'xor就是我今天要介绍的后台绕过语句,是我前几天在玩这个的时候发现的,关于xor网上没有多少提及,但是可以用来绕后台估计很多高手都知道,可以进去,那我们看一下他的语句,我要先让他出错 admin_name=''xor' and admin_pass=''xor' 这个就是在执行'xor之后的语句,可以看到,前面闭合掉' ,而且利用xor可以直接那前面的空值来和后面的进行对比 |