更多渗透技能 公众号:白帽子左一 作者:掌控安全-jasonjhu 摘要 baidu资产搜索 关键词:“news.asp?id” 被WTF-WAF拦截,进行绕过 自动化工具失败,进行盲注(从table到columns再到目标数据) 对password解密 成功登录留言用户(然并卵、纯练手) 详细步骤 1.通过度娘关键词“news.asp?id”搜索找到某站点页面,随便点开一个。 看看样子应该有戏 2.先来一个逻辑语句试试 谁知直接被墙了 只好一边翻文档一边绕过 get √ 正准备一顿操作猛如虎,却发现墙里还有一道小门槛
作者通过手动SQL盲注,成功绕过WTF-WAF,解密出密码并登录留言用户。过程中经历了大小写组合绕过、猜测表和字段、判断字段长度以及ASCII值比对,最终揭示了一个可能较老站点的安全漏洞。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
