我的朋友无意间被传销币割韭菜了问我能不能帮帮他
打开网站 看看手机号包 当我想看看会不会存在短信轰炸漏洞的时候 他居然报错了
我们打开Burp 抓个包看看 丢一个引号看看sql语句
存在报错注入 那我们来构造语句
构造语句发现存在宝塔WAF 最后请教了一波大佬说可以使用垃圾字符填充绕过宝塔waf
构造完语句发现能完美绕过ok 我们爆一下库名和表名
由于Thinkcmf 加密方式解不开 这次渗透测试就到这里吧 技术有限 各位大佬多多包涵
我的朋友无意间被传销币割韭菜了问我能不能帮帮他
打开网站 看看手机号包 当我想看看会不会存在短信轰炸漏洞的时候 他居然报错了
我们打开Burp 抓个包看看 丢一个引号看看sql语句
存在报错注入 那我们来构造语句
构造语句发现存在宝塔WAF 最后请教了一波大佬说可以使用垃圾字符填充绕过宝塔waf
构造完语句发现能完美绕过ok 我们爆一下库名和表名
由于Thinkcmf 加密方式解不开 这次渗透测试就到这里吧 技术有限 各位大佬多多包涵
下载不了
我不知道怎么回事耶 第一次发帖
有百度网盘吗?
有的
谢谢分享
下次直接把内容贴出来,这次我帮你贴了
好的谢谢大佬
分享嘛 就别嫌太麻烦 而且其实你有图片很容易 直接复制到编辑器就可以了 不需要一个一个点上传
懂了 了解 第一次发帖
这就没办法了?注入都有了,看看注入类型能不能update一条数据进去。
update users set user_pass='###57f326ce1695c013d72b2789efc49be7' where user_login='admin'
我试过了 不支持的 大佬 不然我也不会这样说