记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

伪静态转化动态执行注入

2014-01-21 15:30

 第一次发帖子,就拿昨天的一个思路给大家吧。
测试的CMS:建站之星。
因为做伪静态也比较便于SEO,所以现在很多的CMS也有伪静态。然而,伪静态,主要是为了隐藏传递的参数名,它只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。
我们看看现在网上有比较多的伪静态注入方法。
eg.
http://www.XXX.com/play/Diablo’ and 1=’1.html与http://www.XXX.com/play/Diablo’ and 1=’2.html来判断
那,这次我并没有拿这个方法来做。
下载了一个建站之星。本地搭建之后,测试了之后有如下的实例。
不知道讲的对不对,请各位大牛指点一番。
http://www.kinhan.cc/mod_article-fullist-caa_id-19.html
我这样试一下注入:
\
不行,转战了几次都没有结果。
然后换一个姿势,本地测试之后,试了以下的链接。
http://www.kinhan.cc/index.php?_ ... ullist&caa_id=1
这两个其实是一样的。我们再丢SQLMAP试试。
\
这边只是提供一个想法。因为有的CMS是可以下载的。所以可以利用起来。本地自己测试一下。

知识来源: www.2cto.com/Article/201401/273957.html

阅读:46958 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“伪静态转化动态执行注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云