小榕的WIS漏洞 ALLyeSNO 補充一下

2021-03-31 08:57:01 字數 514 閱讀 5240

term     : freexploit

author : allyesno

date      : 2005-2-2

wis是小榕開發的sql漏洞掃瞄工具

wis對&字元未做嚴格過濾 導致可以 人為的建立含&字元的語句 在掃瞄者機子上執行任意**

&*** user allyesno 12345 /add

不是wis&*** user allyesno 12345 /add

而是 使用 wis對 某乙個**進行掃瞄的時候

我們可以利用wis未過濾& 在被掃瞄的**** 例如asp**中嵌入&*** user administrator 12345 /add

當wis對它進行掃瞄的時候 結果如下

本地執行wis &*** user allyesno 12345 /add  是肯定可以的 因為&是把兩段指令連在一起執行

原創 試用榕哥新工具WIS和WED的一次注入例項

gov.cn 由於漏洞較多,估計一時無法通知修補,此處的url做 號遮蔽處理。存在sql injection漏洞,不過別問我怎麼知道的啊,哈哈。不過這個站的表還真.xx的多,之前我用asc竟然掃出2000多個表出來,真是暈。剛好看到榕哥出了新工具,當然馬上就下來使用一下啦。具體使用說明請參閱本站的 ...

小宋銀行的貸款漏洞

有一天小宋買彩票中了獎,他不想直接花出去,於是他開起了一家銀行做起了貸款生意。他的貸款策略是這樣的 貸款金額可以看做是乙個整數x 0 231 1 0 mathrm leqslant 2 1 0231 1 x的整數形式的表達又可以是a1,a2,a 3 an mathrm 1,mathrm 2,math...

jquery css需要記錄的小知識(持續補充)

2020年的第一篇了,奧利給!這部分主要是彙總一些平時遇到的jquery和css小知識,作為筆記使用。self.selectarray j val value的值 trigger change str str.replace g,json 代表json物件 if json.hasownpropert...