技术问题 互相交流 渗透知识 共同成长 最新的新发现
问题描述:
**
我最近接触了一个网站
*超出我的认知,引起了我的好奇心
自从进去了程序的世界以后,不管什么问题,一旦没有解决,吃饭吃不下,睡觉睡不好,做梦都是问题没解决
谈恋爱都不想谈了,心如死灰,看来我天生的对电脑钟爱吧
**
*查到这个服务器下面有两个网站
A:做数据存储,访问权限特别高
B:公开访问
我纯属爱好想学习更多知识,完善自己知识空缺区域
我先用工具将 A 网站进行了扫描
嗯?居然一个漏洞也没有
我试了试在域名后面加?and 1=1 , 发现没用 !尝试了非常多的字符,没用,完全正常页面,始终重定向到登录首页
啥也说不来,一句卧槽走天下
*
*我又试了试在后面加/ 、 /& 、爆路径
发现报错 WAF拦截
没法,肯定有方法只是我菜而已
我换了个思路:
我通过B网站公开访问找到了SQL 注入漏洞, 成功注入拿到管理员账号密码;
B网站和A网站同使用一个服务器,而且有传输
我想通过怎么样才能将这个管理员账号密码运用起来
同一服务器,两个网站保持这有传输通道
我想了三天天夜,再想不出来我就没了
各位朋友扶我一把,真的是没文化太可怕
手贱去碰碰了就思维出来不了了
感谢援助,不白问,感激不尽,纯粹爱好,性格问题,交流学习*
答
您好,
请问你的代码中是否存在转址字符串,转址字符串中是否存在非法字符如“<”,'&'之类的。
方案1:
如果仅仅只是转换页面,传参时出现的问题,可对数据加密:
绑定数据传值时加密
<%#Server.UrlEncode(Eval("UserId").ToString())%> 解密:HttpUtility.UrlDecode(request.QueryString["userid"].Tostrin
方案2:
如果是对数据库数据进行操作时出现此问题,第一、可以在存入数据库中之前加入字符过滤功能。第二、也可以用JS加判断:
具体代码如下:
if(a.value.indexOf("$")!=-1)
alert("不允许包含字符:$")
}