网奇cms注入


urldecode的作用我就不用多说了吧,Request.Form就是post获取,IsNullOrEmpty是判断变量是否为NULL或者为空
把一个单引号替换成两个单引号并赋于str最后return,首先想到的是不能用单引号了但是这里的sql操作语句是链接形式的未有单引号保护,接着看
这里的array2是继续链接语句然后一个goto
最后text又进入了那个替换单引号的函数并再次进行链接语句接着又goto
ExecuteReader是直接sql语句查询也就是执行sql,最后的sql语句原型就是:
nid为注入所在
这里先提出解决帖中给出的语句:
这里是sql server的语句,最初想过盲注但没有去深入,一直想的是sql server报错注入(太过于执着),这里的语句是根据回显的盲注,但是因为这个注入发生表的问题里面有数据的站实在是太少了,所以根据回显是几乎很尴尬的,那么只有基于时间来注入了,sql server下的延时我很清楚所以就没去太过于仔细的研究但是access的延时说实话我了解的很少,接着说下大佬紧接着给的另一条语句用于access没有数据时的延时注入
这里其实是有问题的,在本地以及在实际环境中测试的时候都会爆错,于是自己修改成功延时,不过这里的延时注入是不带任何判断性的,也就是每请求一次都会延时所以没法正常判断某个值是不是真的存在所以自己再研究修改最终语句如下:
完整的sql原型+注入语句如下:
我这里写了一个脚本,本地演示一下:
这里说一下sqlencode是后面的版本才加入的函数
 【via@91ri-team Joseph】 本文系91ri.org原创文章,未经授权请问转载。