正在阅读:

SQL注入及XSS综合利用

5,968

当注入无法获取后台地址和解密不了hash可以用这招,前提是注入点能够 update 或者 insert 数据,直接插入xss代码(不会有任何过滤) 到后台有可能显示的地方,比如留言 消息 文章等等

XSS综合利用

一个 case:

目标站找到个隐蔽的 mssql盲注,但是找不到后台地址

SQL注入及xss利用

win下乱码 换到bt来,找了好久没找到留言板 却找到个极品的地方,这个系统的菜单全部是放在库里面的

SQL注入及xss利用

果断插入菜单

SQL注入及xss利用

第二天起来 成功 收到信息,直接cookie进后台,爆菊

SQL注入及xss利用

xss利用的一个小tips 各种大牛勿喷哈

前提条件:

1、可以insert或者update的注入点

2、可以直接插入xss代码

原文地址:http://yaseng.me/when-sql-injection-met-xss.html

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌