青海網站建設、網絡推廣最好的公司--您身邊的網站建設專家,馬上拿起電話,聯系我們:0971-8235355   
青海西寧網站建設、網站制作公司-西寧威勢電子信息服務有限公司 首頁 |  公司簡介 |  網站建設 |  網絡推廣 |  空間租用 |  域名注冊 |  企業郵局 |  網絡安全 |  網站編程 |  客服中心 |  聯系我們 |  人才招聘
 
西寧威勢最新網站制做案例展示
Lastest Project
 
西寧網站建設  
當前位置為:首頁 >> 腳本安全 >> 正文  
[原創]IN語句的注入技巧

文章來源: 西寧威勢電子信息服務有限公司     發布時間:2009-3-11    瀏覽次數:5925    tags:IN語句注入

    注入漏洞攻擊已經被哪些大牛們發掘的很深了,常見的注入攻擊語句也已被攻擊者熟知,比如經典的1=1之類的,小竹把這些注入攻擊歸類為三大類,一種是數字型的注入,一種是字符型的注入,還有一種是搜索型的注入,其實這些攻擊手法已經借助于掃描工具來實現, 但是要是程序里面的SELECT語句是這樣寫的話,掃描軟件一般都掃不出漏洞了。下面是我手動注入的一次記錄,在嘗試了N次手動檢測后,終于找到一個頁面有漏洞,參數后加一’使之暴錯,出現以下的提示信息:

以下是引用片段:
Database Engine 錯誤 '80040e14'

字符串的語法錯誤 在查詢表達式 'ArticleID in (1234, 5678, 12345') order by ArticleID desc' 中。

/check.asp,行 56

顯示,這種語句是IN語句的,我們構造如下的URL進行攻擊

以下是引用片段:
http://www.usjndq.live/?add=12345) and 1=1 and (1)=(1

頁面顯示訂購產品信息

以下是引用片段:
http://www.usjndq.live/?add=12345) and 1=2 and (1)=(1

訂購信息置空了,看來有得玩。

然后拿出掃描工具,寫上掃描注入地址http://www.usjndq.live/?add=12345 點擊掃描,P都沒有掃出來,不要緊,在URL中加上一個右括號,http://www.usjndq.live/?add=12345) 接著掃描,OK,檢測到漏洞,成功猜解出后臺用戶名密碼

    其實文章中沒有談到什么高深的技巧,都是一些常識,關鍵是我們要靈巧的組織攻擊語句,才能達到我們想要的結果。


上一篇:常見的一句話木馬
下一篇:ewebeditor之上傳任意文件入侵網站
評論列表
正在加載評論……
  
評論   
呢  稱:
驗證碼: 若看不清請點擊更換!
內  容:
 
 
  在線洽談咨詢:
點擊這里,在線洽談   點擊這里,在線洽談   點擊這里,在線洽談
與我交談  與我交談 與我交談
乘車路線    匯款方式   加盟合作  人才招聘  
公司地址:青海省西寧市西關大街73號(三二四部隊招行所四樓)     青ICP備13000578號-1 公安機關備案號:63010402000123    
QQ:147399120    mail:[email protected]    電話: 13897410341    郵編:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版權所有:西寧威勢電子信息服務有限公司 未經書面制授權,請勿隨意轉載!
業務:青海網站制做青海網站建設青海網頁設計西寧網站制做西寧網站建設青海域名注冊青海網絡推廣青海網站推廣青海空間租用青海軟件開發網站安全網絡安全

香港六合彩开奖结果网