请选择 进入手机版 | 继续访问电脑版
查看: 27017|回复: 18

记一次MYSQL注入(科普文)

[复制链接]
  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2016-6-15 13:50:56 | 显示全部楼层 |阅读模式
    一朋友给的一个测试站点。存在报错注入,和联合查询。然后就有了这篇文章。小菜分享,大牛勿喷。
    网站存在waf,然后,算了直接上图吧!



    这个是mysql>5的数据库的一种特性。百度一下,你就知道。



    这个步骤是破解出不了表的关键。

    hex(),与unhex()两个函数的使用。
    联合注入到此就没有了。只是一个思路。

    然后也随便附上报错注入吧:运用内置函数updatexml()而产生的。



    这其实只是一个注入的思路和大家分享。大牛勿喷。
    但自己觉得这次的经历对我来说是一次学习,因为其中的过程并不是那么水到渠成的。

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?注册

    x

    评分

    参与人数 3i币 +18 收起 理由
    邪影复仇 + 4 还是蛮支持原创的。
    clocks + 2 支持原创
    90_ + 12

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-6-15 14:33:58 | 显示全部楼层
    是哪家waf?关键词注释一下就绕过了。

    点评

    垃圾站,大牛不必放在心上,只是科普文。  详情 回复 发表于 2016-6-15 17:48
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 17:48:43 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    sladjfksld 发表于 2016-6-15 14:33
    是哪家waf?关键词注释一下就绕过了。

    垃圾站,大牛不必放在心上,只是科普文。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-7-22 21:20
  • 签到天数: 550 天

    [LV.9]以坛为家II

    发表于 2016-6-15 20:39:04 | 显示全部楼层
    老实说你是男的女的?

    点评

    你有点出息行不?亏你还是个版主,能不能像我一样成熟点  详情 回复 发表于 2016-6-23 20:09
    我肯定是男的啊!头像是我女票。  详情 回复 发表于 2016-6-15 20:58
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 20:58:48 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    昊情· 发表于 2016-6-15 20:39
    老实说你是男的女的?

    我肯定是男的啊!头像是我女票。

    点评

    woqu  详情 回复 发表于 2016-6-15 22:59
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-8-2 09:32
  • 签到天数: 227 天

    [LV.7]常住居民III

    发表于 2016-6-15 21:17:34 | 显示全部楼层
    手注牛,膜拜一下,听说过绕狗的手注方法但是想询问哪里有文章或视频可以系统的学习一下,比如你说mysql5以上版本用你的这种方法,那么其他版本呢?有没有推荐学习的教程?期待你的更多好文。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 22:09:30 | 显示全部楼层
    H.U.C-Star 发表于 2016-6-15 21:17
    手注牛,膜拜一下,听说过绕狗的手注方法但是想询问哪里有文章或视频可以系统的学习一下,比如你说mysql5以 ...

    兄弟,不是,绕过完全是慢慢尝试的,只是这个网站刚好能用这个办法!这是一个mysql数据库5.0以上的一个注释的特性,刚好拦截的没有识别到!就绕过了!绕过安全狗应该是没有办法系统学习的!有时的靠一点运气!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-7-22 21:20
  • 签到天数: 550 天

    [LV.9]以坛为家II

    发表于 2016-6-15 22:59:44 | 显示全部楼层

    RE: 记一次MYSQL注入(科普文)

    w2015 发表于 2016-6-15 20:58
    我肯定是男的啊!头像是我女票。

    woqu
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-6-15 23:43:09 | 显示全部楼层
    昊情· 发表于 2016-6-15 22:59
    woqu


    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-9-1 13:44
  • 签到天数: 68 天

    [LV.6]常住居民II

    发表于 2016-6-16 09:26:44 | 显示全部楼层
    还在学习中
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表