点击T00ls关注我们
Apache版UPUPW
介绍:
UPUPW是目前Windows平台下最具特色的Web服务器PHP套件,包括Apache版、Ngix版和Kangle版:Apache/Nginx+PHP+MySQL+phpMyAdmin+Xdebug+Memcached+eAccelerator+ZendGuardLoader/Optimizer+。UPUPW PHP套件省去了您搭建Web服务器PHP环境的复杂程序,下载解压到装有任意Windows系统电脑的非中文目录即可运行。绿色,安全,稳定,高速!UPUPW自身带有waf的功能。
环境:
Win7
Sqllibs
Apache版UPUPW PHP5.6系列
安装好后开启upupw自带的防注入功能:
测试select from:
利用内联即可。
即然select from 能绕, 那我们就可以用报错注入。
直接使用updatexml函数测试,upupw没有防注:
concat也没有挡截:
select 1:
利用上面的/*!36000select*/from, 可以这样注:
关键是select from, 用内联, 把字段写到/*!36000select */里。
后面如果再有防注提示的话, 再用内联, 配合太小写混合即可绕过。
本文始发于微信公众号(T00ls):UPUPW注入绕过(php+mysql+apache)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论