[讨论]一个有意思的过滤,讨论下绕过-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[讨论]一个有意思的过滤,讨论下绕过

发表于: 2013-10-27 02:07 1553

[讨论]一个有意思的过滤,讨论下绕过

举剑问天

2013-10-27 02:07

1553

1.网站系统：
centOS+apache+php+mysql
2.类型
文字型，类似
a.php?id=12345 id文字型注入
3.过滤方式
在php中做的验证，
（1.判断提交id同时出现select from这两个关键字，就提示非法
（2.出现info或password也提示非法，防止通过information_schema表猜解
4.权限
一般用户，非root，无法跨库，无文件权限

有无思路？
现在已试过sqlmap和n多工具的绕过，无效
手工盲注，可以猜到数据库名，已知重要表名，字段名
有没有愿意讨论这个问题的，加我qq ：29016202

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 2 楼加了：） 2013-10-27 09:42 0
黑色舞曲雪币： 1428 活跃值： (707) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 178 粉丝 0 关注私信	黑色舞曲 3 楼看看先~~~ 2013-10-28 08:41 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 4 楼唉,web安全板块太水了想讨论点技术都找不到人 2013-10-28 15:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

举剑问天

发帖

133

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 2 楼加了：） 2013-10-27 09:42 0
黑色舞曲雪币： 1428 活跃值： (707) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 178 粉丝 0 关注私信	黑色舞曲 3 楼看看先~~~ 2013-10-28 08:41 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 4 楼唉,web安全板块太水了想讨论点技术都找不到人 2013-10-28 15:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复