摘要:
Lesson 42 POST - Error based - String - Stacked (1)查看源代码 这里对用户名进行了处理,不能用单引号什么的,会被转义。 但是没有对密码进行处理,所以我们可以对密码进行注入。 这里可以看到用户名和密码都被单引号进行包裹 (2)先使用admin admi 阅读全文
摘要:
补充知识:堆叠注入 Lesson 38 GET - Stacked Query injection - string (1)先测试 ?id=1 SELECT * FROM users WHERE id='1' LIMIT 0,1 显示正常,id值被单引号包裹 加上单引号和注释符 ?id=1' --+ 阅读全文
摘要:
补充知识(宽字节注入) 推荐解码网站: http://www.mytju.com/classcode/tools/urldecode_gb2312.asp 加上单引号就变成可以注入的地方 这里的转义符号并不影响语句的查询 Lesson 32 GET - Bypass custom filter ad 阅读全文
摘要:
Lesson 29 基于WAF的一个错误 这几关,主要会用到WAF,但是由于个人原因,无法将JSPstudy安装好,所以就是跟着视频教程学一下,截图也是视频教程的。 Tomcat(JSP): Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问 阅读全文