term : freexploit
author : allyesno
date : 2005-2-2
wis是小榕開發的sql漏洞掃瞄工具
wis對&字元未做嚴格過濾 導致可以 人為的建立含&字元的語句 在掃瞄者機子上執行任意**
&*** user allyesno 12345 /add
不是wis&*** user allyesno 12345 /add
而是 使用 wis對 某乙個**進行掃瞄的時候
我們可以利用wis未過濾& 在被掃瞄的**** 例如asp**中嵌入&*** user administrator 12345 /add
當wis對它進行掃瞄的時候 結果如下
本地執行wis &*** user allyesno 12345 /add 是肯定可以的 因為&是把兩段指令連在一起執行
原創 試用榕哥新工具WIS和WED的一次注入例項
gov.cn 由於漏洞較多,估計一時無法通知修補,此處的url做 號遮蔽處理。存在sql injection漏洞,不過別問我怎麼知道的啊,哈哈。不過這個站的表還真.xx的多,之前我用asc竟然掃出2000多個表出來,真是暈。剛好看到榕哥出了新工具,當然馬上就下來使用一下啦。具體使用說明請參閱本站的 ...
小宋銀行的貸款漏洞
有一天小宋買彩票中了獎,他不想直接花出去,於是他開起了一家銀行做起了貸款生意。他的貸款策略是這樣的 貸款金額可以看做是乙個整數x 0 231 1 0 mathrm leqslant 2 1 0231 1 x的整數形式的表達又可以是a1,a2,a 3 an mathrm 1,mathrm 2,math...
jquery css需要記錄的小知識(持續補充)
2020年的第一篇了,奧利給!這部分主要是彙總一些平時遇到的jquery和css小知識,作為筆記使用。self.selectarray j val value的值 trigger change str str.replace g,json 代表json物件 if json.hasownpropert...