| 动画介绍:这里我找了几个网址给大家作示范,台湾的网站。
搜索型注入主要是检查输入框是否过滤了’等。
然后构造一个注入点,用nbsi等软件进行注入。
好了,看我的操作吧,我们还是结合实际。
搜索:search.asp
主要检测输入框。
抱歉,並沒有搜尋到相關的資料 !
出错,看来没过滤,接下来我们构造注入点。
注意看操作,查看源文件
找form
<form method=post action="search.asp" name="search">
上面这是一个表单以post方式提交给search.asp 的
提交的内容我们查看input,
<input name="searchword" type="text" size="12"
http://www.aecl.com.tw/search.asp?searchword=test
我们构造出这样一个链接。
表示直接在网址上提交参数传递给search.asp文件。
表示查找test关键字,test应该是input输入的,input输入框没有过滤,所以它的内容就存在注入。
我在检查看一下这个链接。
报错,这样我们就构造出来了一个注入点,只需要放在nbsi里面去跑
DB_OWNER 权限的,怎么样,接下来的备份等打操作我就不演示了,这里主要讲制做注入点
为了便于大家了解,我再操作一个网站
看看[ 样子的
没有过滤’,我们直接查找源代码中的form构造注入点。
<form name="form1" method="post"action="/search_all.asp">
是个提交给这个文件的。
提交的内容我们查看input
这是字段
<input type="text" name="keyword" size="42"
构造后的注入点,再用nbsi去! 后面的不演示。 | 
安全中国首页 > 动画中心 > 综合注入动画
