黑帽SEO技术论坛|商业源码|棋牌资源网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月
文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月 文字广告位招租 80元/月
查看: 58|回复: 0

利用get方式的搜索型注入拿站

[复制链接]

3484

主题

3485

帖子

1万

积分

超级版主

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

积分
11404
发表于 2017-3-3 20:02:44 | 显示全部楼层 |阅读模式
在搜索框里,我们输入一个关键词,该关键词必须在这个站能搜索到信息。比如这个站,我输入了1,搜索到了很多新闻。
判断这个搜索框是否有注入漏洞
我们在搜索框内输入1%' and 1=1 and '%'='
返回正常

我们在搜索框内输入1%' and 1=2 and '%'='
返回异常
对不起,没有找到相关新闻
可以确定这是个注入点了
我们在搜索框里,搜索关键词1浏览器地址栏显示:http://www.XXXXXX.com/News_search.asp?key=1&otype=msg
这里的key=1,就是说我们搜索得关键词1。我们要做的就是吧key=1放到最后面,把连接变成
http://www.XXXXXX.com/News_search.asp?otype=msg&key=1,或者直接把&otype=msg删除,变成http://www.XXXXXX.com/News_search.asp?key=1

拿工具来挂进去就可以了
回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|黑帽SEO技术论坛|商业源码|棋牌资源网  |网站地图

Powered by Discuz! X3.3© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表