搜索型注入点利用

来源:互联网

搜索型注入点

来源:赐我一败's Blog

搜索型注入主要是检查输入框是否过滤了'等。

然后构造一个注入点,用nbsi等软件进行注入。

好了,看我的操作吧,我们还是结合实际。

搜索:search.asp

主要检测输入框。

抱歉,並沒有搜尋到相關的資料 !

出错,看来没过滤,接下来我们构造注入点。
注意看操作,查看源文件


找form

<form method=post action="search.asp" name="search">

上面这是一个表单以post方式提交给search.asp 的

提交的内容我们查看input,

<input name="searchword" type="text" size="12"

http://www.aecl.com.tw/search.asp?searchword=test

我们构造出这样一个链接。

表示直接在网址上提交参数传递给search.asp文件。


表示查找test关键字,test应该是input输入的,input输入框没有过滤,所以它的内容就存在注入。
我在检查看一下这个链接。

报错,这样我们就构造出来了一个注入点,只需要放在nbsi里面去跑

DB_OWNER 权限的,怎么样,接下来的备份等打操作我就不演示了,这里主要讲制做注入点


为了便于大家了解,我再操作一个网站

看看 样子的


没有过滤',我们直接查找源代码中的form构造注入点。

<form name="form1" method="post"action="/search_all.asp">


是个提交给这个文件的。

提交的内容我们查看input
这是字段
<input type="text" name="keyword" size="42"

http://www.ta-lu.com.tw/search_all.asp?keyword=teest


构造后的注入点,再用nbsi去! 后面的不演示。
 

Posted on: 2008, October 19, 3:43 PM | Filed under: 技巧摘录 |
Tags:injection

您可能会对以下文章感兴趣哦

Leave a comment

Your comment

Why not Login? Sign up now! »