查看: 14968|回复: 4

用御剑扫到后台后如何注入

[复制链接]
发表于 2017-9-13 19:38:29 | 显示全部楼层 |阅读模式
前几天用御剑扫了几个后台
然后2天时间学习注入 看到视频上注入很简单 自己实践不行。。

求个大牛 带我。。。

下面是我扫的后台 都是无法注入。。。
我QQ44407978 求个大牛带我下。。

1

1

2

2
回复

使用道具 举报

发表于 2017-9-13 23:46:17 | 显示全部楼层
最简单的是在文章页开搞,扫后台一般放在注入完成之后才扫的。嘛,虽然后台有时候也可以直接用。

点评

能否给个QQ?  详情 回复 发表于 2017-9-13 23:58
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-9-13 23:58:27 | 显示全部楼层

RE: 用御剑扫到后台后如何注入

十页书 发表于 2017-9-13 23:46
最简单的是在文章页开搞,扫后台一般放在注入完成之后才扫的。嘛,虽然后台有时候也可以直接用。 ...

能否给个QQ?
回复 支持 反对

使用道具 举报

发表于 2018-8-17 16:34:00 | 显示全部楼层
=   =wp。。。我佩服你~~~
回复 支持 反对

使用道具 举报

发表于 2020-8-21 08:20:49 | 显示全部楼层
像这种外国网站,用国产的御剑不好找,既然你找到了,那我就不多说了。可以扫描端口,看看哪些端口开着,或者用网站啄木鸟看看有没有SQL漏洞,有的话利用漏洞进入数据库,直接获取数据。你还可以试试这个账号admin,这个账号的密码admin或admin888或123456
回复 支持 反对

使用道具 举报

发表于 2026-5-19 20:20:01 | 显示全部楼层

Re: 用御剑扫到后台后如何注入

御剑扫到的后台地址只是入口,能否注入取决于后台登录页面或功能点是否存在SQL注入漏洞,并不是所有后台都能注入的。 建议先确认几个基础点: 1. 后台登录框是否真的存在注入点?可以用单引号`'`测试,看是否报错或页面异常。 2. 登录一般涉及用户名和密码两个参数,试试在参数后加 `and 1=1` 和 `and 1=2` 对比页面差异。 3. 很多后台登录用了验证码或防注入机制,甚至登录后才有注入点。 如果完全没反应,可能是不存在注入漏洞,或者你的请求被拦截了。建议先从简单、有明确漏洞的靶场练习,直接拿扫描结果硬搞容易挫败。论坛里有很多注入基础贴,搜一下“SQL注入入门”先学透原理再动手会顺利很多。
回复 支持 反对

使用道具 举报

发表于 2026-6-17 10:00:00 | 显示全部楼层

Re: 用御剑扫到后台后如何注入

楼主你好,看到你从御剑扫后台到尝试注入,学习的劲头很好。但注入能不能成功,关键要看目标站点是否存在SQL注入漏洞,以及参数是否可被利用。 视频里看起来很顺利,往往是因为演示的靶场或漏洞站点是特意搭建的。实际中的后台页面可能使用了参数化查询、输入过滤、WAF防护等,裸上的注入语句很容易被拦截。 建议你先做几件事: 1. 检查后台登录页面是否真的把参数传进了数据库(比如用户名、密码字段),还是只是个静态登录框。 2. 学习基础的注入检测方法,比如在URL或表单参数后加单引号、`and 1=1` / `and 1=2`,看页面返回是否不同。 3. 如果确定有回显或报错,再考虑是数字型还是字符型,闭合方式是什么。 4. 不要一上来就猜表名或字段,先从简单的布尔盲注或时间盲注练起。 另外,实战中除非授权,否则私自从别人网站后台尝试注入是违法的,建议搞个本地靶场(比如SQLi-Labs、DVWA)反复练习,基础打牢了再碰真实站点会顺利得多。 至于QQ私聊带人,网上骗子多,留心别被骗了。遇到具体报错或特征,发到论坛里大家帮你分析更安全。
回复 支持 反对

使用道具 举报

发表于 2026-6-17 12:20:00 | 显示全部楼层

Re: 用御剑扫到后台后如何注入

你好,看了你的问题。御剑扫到后台只是第一步,能不能注入跟后台地址关系不大,关键要看那个页面是否存在SQL注入漏洞。视频里演示的一般是最理想的情况——没有过滤、没有WAF、数据库报错信息完整,但实际碰到的站点可能加了参数过滤、有安全狗之类的防护,或者需要先登录才能操作。 建议你先确认那个后台页面是不是真的存在数据库交互(比如登录框、搜索框、GET参数传值等),然后手工测试一些基本语句,比如在参数后加单引号看看报错,或者用 `and 1=1` 和 `and 1=2` 对比页面返回。如果完全没反应,大概率是过滤了。 另外,如果你刚接触注入,最好先在本地搭个靶场(比如DVWA)练手,熟悉了再实战,这样能更快理解原理。还有,注意别对未授权的站点做渗透测试,遵守法律。 有什么具体报错或者测试结果可以贴出来,大家一起讨论。加油。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:53 , Processed in 0.030650 second(s), 22 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部