|
从你贴的注入结果看,这串乱码很可能是 **字符集编码不匹配导致的**。你用了 `admin+password` 拼接查询,返回的字符串里包含中文或特殊字符,但浏览器或显示环境把二进制或非 ASCII 字节当成了 ANSI/GBK 等编码来解析,于是就出现了“┼硥捥瑵?”这种乱码。 你可以尝试以下步骤排查: 1. **单字段测试**:先分别查询 `admin` 和 `password` 两个字段,看看各自返回什么。比如: ``` ...select 1,2,admin,4,5,6,7 from shopxp_admin ``` 以及单独查 `password`。如果某个字段返回正常数字或字母,另一个是乱码,说明问题出在 password 字段本身的编码上。 2. **用 hex 函数**:把字段转成十六进制,避免编码干扰: ``` ...select 1,2,hex(admin),hex(password),5,6,7 from shopxp_admin ``` 返回的十六进制串可以用在线工具解码,就能看到原始数据。 3. **检查目标页面编码**:访问 ` 看看它的 `` 是什么(可能是gb2312或utf-8),你的注入结果页面可能也用了那种编码,导致解释出错。你可以在注入语句末尾加上 `--` 注释掉多余内容,并尝试用 `char()` 函数构造纯 ASCII 字符来测试返回点 |
发表于 2012-7-10 03:08:20