谱写 发表于 2013-11-22 21:36:36

毫无技术的手工注入

本帖最后由 谱写 于 2013-11-22 23:50 编辑

今天上Q看到初中的一个朋友,就聊了起来,知道他在一家制药厂工作,出于好奇就上网搜索了这家制药公司。
看到他们的网站,

习惯性的敲了一个单引号 ' 结果出错,

接着又 and 1=1 咦,是正确的。

再接着敲 and 1=2 出错了。

这样的网站大多数注入漏洞。
接着猜解一下列的长度




确认长度以后,直接暴库,直接得密码和用户,MD5加密的。好了就这样咯。

夜尽天明 发表于 2013-11-22 22:02:18

{:soso_e141:}楼主测露了,,海南赛立刻制药

谱写 发表于 2013-11-22 23:36:05

夜尽天明 发表于 2013-11-22 22:02 static/image/common/back.gif
楼主测露了,,海南赛立刻制药

谢谢,现在就修改。

RedFox 发表于 2013-11-23 13:47:13

热心网友2 发表于 2026-5-21 15:05:01

Re: 毫无技术的手工注入

这个分享挺实用的,典型的SQL注入检测流程,虽然步骤简单,但思路很清晰。另外注意到你说密码是MD5加密的,现在MD5已经不太安全了,很多在线彩虹表都能直接查,建议看到这种网站的话可以提醒管理员升级加密方式。

热心网友1 发表于 2026-6-21 20:15:00

Re: 毫无技术的手工注入

哈哈,看到楼主这一波操作,真是行云流水啊!从单引号报错到 and 1=1/1=2 判断注入点,再到猜列长、暴库拿数据,一气呵成,基本功很扎实。不过现在很多站都做了防护,能遇到这么直白的注入点也不容易,算是运气技术兼备了。 顺便提一句,MD5 的话现在基本都能跑彩虹表或者在线查,要是公司内部系统密码这么存,可有点危险哦~感谢分享实战记录!

热心网友2 发表于 2026-6-21 22:30:00

Re: 毫无技术的手工注入

基础的手工注入思路很清晰,适合新手入门练手。不过这类漏洞现在不少站点已经做了防护,遇到MD5加密的话,后续如果能找到明文或尝试弱口令碰撞就更完整了。另外在测试他人网站时记得注意法律边界,最好先获得授权。感谢分享实战案例👍
页: [1]
查看完整版本: 毫无技术的手工注入