注入点:
http://www..com/shownews.asp?id=471
查看是否能注入:
不能注入,有防注入系统,利用工具突破!!
注入中转:
用工具扫扫:
爆出了用户名和密码(md5加密),然后找后台,解密md5并登陆后台
进入后台,找网站设置,添加上传文件类型:
访问路径:http://XXX.com/UploadFiles/20144221959209.cer,如下图所示,输入密码:
登陆以后如图所示:
二、手工注入:
查看是否能注入:’ 1=1 1=2
查看列长度:
猜表名:网页显示正常说明表存在
猜表字段:网页显示正常说明字段存在
查看显示位:
爆字段内容:
