搜索
查看: 1134|回复: 3

伪静态转化动态执行注入

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2014-1-20 10:28:09 | 显示全部楼层 |阅读模式
第一次发帖子,就拿昨天的一个思路给大家吧。
测试的CMS:建站之星。
因为做伪静态也比较便于SEO,所以现在很多的CMS也有伪静态。然而,伪静态,主要是为了隐藏传递的参数名,它只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。
我们看看现在网上有比较多的伪静态注入方法。
eg.
http://www.XXX.com/play/Diablo’ and 1=’1.html与http://www.XXX.com/play/Diablo’ and 1=’2.html来判断
那,这次我并没有拿这个方法来做。
我下载了一个建站之星。本地搭建之后,测试了之后有如下的实例。
不知道讲的对不对,请各位大牛指点一番。
http://www.kinhan.cc/mod_article-fullist-caa_id-19.html
我这样试一下注入:

不行,转战了几次都没有结果。
然后换一个姿势,本地测试之后,试了以下的链接。
http://www.kinhan.cc/index.php?_ ... ullist&caa_id=1
这两个其实是一样的。我们再丢sqlMAP试试。

这边只是提供一个想法。因为有的CMS是可以下载的。所以可以利用起来。本地自己测试一下。
您可以更新记录, 让好友们知道您在做什么...
854955425 该用户已被删除
发表于 2014-1-20 10:43:22 | 显示全部楼层
写的真的很不错
854955425 该用户已被删除
发表于 2014-1-20 12:32:34 | 显示全部楼层
相当不错,感谢无私分享精神!
菜鸟痕迹 该用户已被删除
发表于 2015-6-6 17:34:46 | 显示全部楼层
不错,长姿势了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表