一个新手菜鸟学习POST注入的理解,不喜勿喷。

黑色小番茄   ·   发表于 2022-07-29 09:00:05   ·   学习杂记

今日学习POST注入,首先先理解了一下万能密码的原理,查询语句的逻辑,where后面是条件,username和password之间是and连接,所以两个有一个为否返回就是否,但是如果我们通过构造一个已知用户名并以#结尾,我们知道‘ # ’在mysql中表示注释的意思,通过这样的方式,我们成功将where后面的2个条件构造为一个条件,同时该条件为真的情况下,我们就能获取到我们想要的结果。下图为验证结果,小白文,大神不喜勿喷:

PS:虽然这样做有点脱裤子放屁,多此一举,不喜勿喷啊

打赏我,让我更有动力~

2 条回复   |  直到 11个月前 | 974 次浏览

woke
发表于 2022-7-30

挺好的,成长嘛

评论列表

  • 加载数据中...

编写评论内容

行之
发表于 11个月前

seclet *from user where username(“admin”)#”) and password (“”)

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.