看雪论坛
发新帖

尝试测试SQL注入漏洞 返回了错误不知如何利用

makaisghr 2017-2-20 15:15 2420


select distinct wr_parent from g4_write_notice where ((INSTR(JyI, '1')) ) and (wr_num between '-2' and '9998')

1054 : Unknown column 'JyI' in 'where clause'

error file : /board/bbs/board.php


本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (5)
苦海蜉蝣 2017-2-20 15:45
2
where  条件的字段在数据库中不存在
sirbra 2017-2-20 16:22
3
用sqlmap的自定义注入参数功能试试
12
netwind 2017-2-20 16:41
4
构造注入  要保证语句没有语法错误,字段名也要存在
wjzhhr 2017-4-18 14:53
5
牛人继续回答呀,楼主继续呀。小白用户在看在学习呢
修行的浪人 2017-8-8 22:31
6
此楼层已删除
破九 2017-8-10 09:16
7
说明JyI字段不存在,说明JyI可控,查询语句都爆出来了,最简单的就是穷举Jyl所在的位置,直接穷举出所有常用列,优先穷举username和password及其变体,但是看表名不像是用户表,总之固定不变的是select  distinct  wr_parent  from  g4_write_notice  where  ((INSTR(
其他都可以改造,如果能够闭合INSTR之后另外构造条件语句,则能通过条件来注入。
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.013, SQL: 11 / 京ICP备10040895号-17