sql注入无法判断 2022-03-30 12:04:40 23 冰雪梅花 5386 师傅们,能不能让它显示第二条语句执行的结果。延时注入也不行 还有一处注入点,不知道怎么控制参数 类别 安全研究 关于作者 冰雪梅花11篇文章143篇回复
评论23次
尝试一下编码绕过
可能输入被转义了
这个不是注入点吧!都没有执行吧!
大佬试试宽字节注入?
level 3试一试
单引号被转义了。找找看有没有数字型注入吧
单引号被转义了,应该不得行,
好像只是报错而已 单引号已经转义了
会不会只是报错而已
这个不存在注入,单引号都被过滤了。仔细看看。
先判断下是否有注入点,如果有,直接扔sqlmap
输入都被转义了,你试试编码看看能不能执行。转义能绕过去了先判断下存不存在注入再说。
功能正常无报错无过滤且表名列名都存在的话直接盲注就行了 username=1' and substr(user(),1,1)='1 不过看你这图实际功能都没法正常用 表跟列都不存在 且 单引号被反斜杠转义了 无法闭合 所以压根就不是注入
一个表名不存在,第二个列名不存在,都利用不了吧,无论输出什么都报错的
sqlmap中level调到最大可以试一试
有没有可能这只是单纯的报错
有可能
看他的response 貌似只是报错,不是注入点。 \'
原来如此
有没有可能这只是单纯的报错
很明显注入不了,都被注释了
看他的response 貌似只是报错,不是注入点。 \'