首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]这个网站为啥不能注入 0.00雪花
发表于: 2011-2-23 21:12 1132

[旧帖] [求助]这个网站为啥不能注入 0.00雪花

青月公子 活跃值
2011-2-23 21:12
1132
我在测试有个网站 输入and 1=1 和and 1=2 返回不同 页面 说明有注入点   但我用order by 查询时却回复这个
SQL Error : 1054 Unknown column '1' in 'order clause'

UPDATE xydt_info SET hits = hits + 1 WHERE news_id = 2780 order by 1

Line : 61
File : news.php

跪求解答

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (7)
luxinpeng
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这个  你还是等把
2011-2-24 13:19
0
yodamaster
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
首先声明我不懂注入,仅仅从楼主的描述说说自己的理解:
如果1=1和1=2是条件测试语句, 那么1=1的值为true, 而1=2的值为false. 所以返回不同的页面应该是合理的吧。
2011-2-24 17:05
0
咿呀咿呀
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
UPDATE xydt_info SET hits = hits + 1 WHERE news_id = 2780 order by 1

构成的语句错误,UPDATE xydt_info SET hits = hits + 1 WHERE news_id = 2780这条语句的意思是从xydt_info表中找到news_id=2780的值,更新hits的值位hits+1.

order by 是将搜索出来的语句进行排序。

这两个配合在一起当然错误,楼主要是对这个东西感兴趣,可以去学学数据库,黑站实在无聊。。。
2011-2-24 21:10
0
诸葛黑鸟
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
那个1=1 1=2 是很老的教程了,好像有些打着黑客培训的论坛机构,教的sql注入。
现在很多网站已经把这个漏洞补了。不想以前那么轻易注入了。
2011-2-24 21:31
0
Lodd
雪    币: 1240
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这种注入是10年前的技术了,要找到这种漏洞的网站可不多啦
2011-2-25 01:50
0
青月公子
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
但他能返回不同界面   说明这个还没补上啊
2011-2-26 11:05
0
青月公子
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢提醒   但我还是想知道 这种情况我怎么爆库
2011-2-26 11:06
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//