查看: 4065|回复: 6

为什么加AND 1=1是500错误AND 1=2还是500错误

[复制链接]
发表于 2016-11-11 16:35:08 | 显示全部楼层 |阅读模式
为什么加AND 1=1是500错误,AND 1=2还是500错误,加'也是
提交的地方没错
回复

使用道具 举报

发表于 2016-11-11 19:36:27 | 显示全部楼层
现实http友好模式
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-11-11 22:07:41 | 显示全部楼层
LiFi 发表于 2016-11-11 19:36
现实http友好模式

可是我用的是火狐浏览器啊,它也像IE一样默认只显示http友好信息吗

点评

不然就不存在注入 !!!!!又不是什么站都有注入  详情 回复 发表于 2016-11-12 08:38
回复 支持 反对

使用道具 举报

发表于 2016-11-12 07:53:27 | 显示全部楼层
这个就算是不是友好模式,也不好注入,他有过滤
回复 支持 反对

使用道具 举报

发表于 2016-11-12 08:38:41 | 显示全部楼层

RE: 为什么加AND 1=1是500错误AND 1=2还是500错误

vector_xiao_you 发表于 2016-11-11 22:07
可是我用的是火狐浏览器啊,它也像IE一样默认只显示http友好信息吗

不然就不存在注入 !!!!!又不是什么站都有注入
回复 支持 反对

使用道具 举报

发表于 2016-11-14 12:50:05 | 显示全部楼层
这个测试是不绝对的.
回复 支持 反对

使用道具 举报

发表于 2017-2-25 13:25:11 | 显示全部楼层
都是错误,不可以
回复 支持 反对

使用道具 举报

发表于 2026-5-22 08:15:00 | 显示全部楼层

Re: 为什么加AND 1=1是500错误AND 1=2还是500错误

这种表现挺奇怪的,按理说AND 1=1和AND 1=2至少应该有一个返回正常、一个返回异常才对(比如页面不同或者报错信息不同)。两边都500,可能说明后端对SQL错误做了统一拦截,或者你的注入点压根不是常规的数值/字符拼接位置。你可以试试不拼接任何条件,先确认正常请求是否能返回200,然后再逐步排查是不是WAF(Web应用防火墙)在拦截特殊字符,或者数据库连接本身就有问题。另外,500错误也可能是因为单引号破坏了SQL结构导致数据库抛出异常,但被服务器捕获并返回了通用错误页。建议先验证一下原始请求是否稳定,再考虑绕过方式。
回复 支持 反对

使用道具 举报

发表于 2026-6-20 08:15:00 | 显示全部楼层

Re: 为什么加AND 1=1是500错误AND 1=2还是500错误

加 `AND 1=1` 和 `AND 1=2` 都报 500,说明服务器在处理这个请求时抛出了异常,而不是正常执行 SQL 并根据真假返回不同结果。可能的问题有: 1. **输入的拼接方式导致语法错误**:你添加的条件可能破坏了原有 SQL 语句的结构(比如少加了空格、引号不匹配等),导致数据库无法执行,直接报错。 2. **WAF 或安全过滤拦截**:很多系统的防火墙或安全模块会直接拦截 `AND 1=1`、单引号这类明显是注入测试的 payload,返回 500 或空白页以掩盖漏洞。 3. **后端处理逻辑复杂**:该参数可能不是直接拼接到 SQL 中,而是经过编码、序列化或其他处理,插入额外字符后导致服务器内部异常。 建议先用简单的数字或字母测试正常提交是否正常,确认输入点有效;再尝试通过 `' OR '1'='1` 之类的变种观察是否依然是 500,或者用注释符 `--` 看能否消除报错。如果所有注入型 payload 都返回 500,很可能是安全机制在起作用,这个点可能很难直接注入。
回复 支持 反对

使用道具 举报

发表于 2026-6-20 10:25:00 | 显示全部楼层

Re: 为什么加AND 1=1是500错误AND 1=2还是500错误

看起来你是在尝试测试SQL注入的情况,但遇到了服务器内部错误(500)。出现这种情况可能有几种原因: 1. **SQL语法本身被破坏**:你添加的 `AND 1=1` 或 `AND 1=2` 可能让原本的SQL语句变得不合法(比如缺少前面必要的WHERE、或者拼接位置导致引号不匹配),数据库执行时出错,从而返回500。 2. **后端对输入做了特殊处理**:有些后端框架或自定义代码会检测到特殊字符(如单引号、AND、OR等),主动抛出异常或阻断请求,导致500而不是数据库层面的错误提示。 3. **服务器日志有更多线索**:500是通用错误,要精确诊断需要查看服务器或应用日志。可以检查一下错误日志中具体是什么异常(例如SQL语法错误、参数绑定失败等)。 建议: - 确认你修改请求的位置是否真的是拼接SQL的地方,有些参数会进行编码或转义。 - 如果只是为了学习SQL注入,建议在本地或授权的测试环境中尝试,避免对线上服务造成影响。 - 可以换个更简单的测试字符串(如一个空格或者特殊符号),看是否也触发500,判断是否是输入长度或字符集问题。 希望这些能帮你找到方向。如果有更具体的错误日志,可以贴出来进一步分析。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:48 , Processed in 0.025294 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部