1.用脚都知道,这次的注入肯定不简单。果然,添加了无数的坑[哭泣委屈],不过还是谢谢大哥,如果没有他,我们根本不能有这么好的学习环境。好好加油吧。果然,设置了黑名单。加入黑名单的有我们的and还有; ;;;
所以我们要变一下身:And...居然大写也不行。。。a/**/nd也不行。。。。andand也不行。。。一看 ,,别人是黑名单。。我在想啥子。。。。
所以构造语句:
&& 1=1
然后OK了。
2.接下来用order by判断字段数。查到有11个字段。
3.接下来,判断11个字段里面,哪些有真正的值。
4.简直了,我这个蠢猪,周五晚上的东西,现在才继续写。好烦哦,今天的机器学习也没有OK,呜呜呜。。。我来总结一下那天大哥教我们的知识,以及我们遇到的坑。
首先,我们发现他的数据库可以备份,所以我们可以通过选择备份数据库的路径,从而将真正的代码备份进服务器。
第一步:通过某一路径上传图片,这一路径,必须为自己显示出来的,我们才可以真正找到正确的上传路径;其次就是这个图片,通过cmd 的 copy 功能,将图片+木马合成。
注意:A.使用copy的时候,是根据前面的文件类型,图片=图片+TXT
B.图片大小一定要适中,一般合成以后,很容易出现0K
第二步:将路径添加到数据库的路径
第三步:设置上传:
第四步:访问+连接菜刀
一般访问的路径,都是admin后面的。然后连接菜刀,就可以成功了。
失误点:一句话木马一直上传不上去,原因居然是文件大小(0k)有误。所以,细心,细心,细心。