大家快来看，这种伪静态网页存在SQL注入吗？

2021-07-12 05:38:52 79 LiJun1998 17418

原网页是这样的：

在数字前面加个单引号就报错：

但是在数字后面加单引号没影响：

在加上单引号和其他数字，就相当于单引号后面的都被注释了一样，没影响

这种应该如何注入？

类别安全研究

关于作者

LiJun199811篇文章49篇回复

LiJun1998

评论79次

要评论？请先登录或注册

59楼

gandolf1010
2021-7-16 11:53

' #报错 ' --+ 正常看看，如果满足，就存在注入！

回复|@ta|踩(0)|顶(0)
58楼

ech0w0
2021-7-16 10:46

看着不像是sql注入，是程序debug吧，绝对路径都出来了，算个信息泄露？

回复|@ta|踩(0)|顶(0)
57楼

小白
2021-7-15 21:59

代码问题没有报数据库错误

回复|@ta|踩(0)|顶(0)
56楼

笨笨熊先森
2021-7-15 13:53

zhizhouvip

回复|@ta|踩(0)|顶(0)
55楼

cdxampp
2021-7-14 22:55

这不是注入吧，泄露了绝对路径，可以先记录一下，在发现其他漏洞时配合利用

回复|@ta|踩(0)|顶(0)
54楼

PcaQzero
2021-7-14 09:53

不是注入但是报错信息出来了，每个信息都有用处，一般挖洞也适应破窗理论，可以看看其他漏洞，也许用的上

回复|@ta|踩(0)|顶(0)
53楼

idam0n
2021-7-14 09:14

应该是页面模板问题，信息泄露

回复|@ta|踩(0)|顶(0)
52楼

xidut00ls
2021-7-14 09:09

这个看报错，改的参数就没放到SQL运行，肯定不是注入点。

回复|@ta|踩(0)|顶(0)
51楼

zcwfzh
2021-7-14 08:53

不是？带参数的注入都很少

回复|@ta|踩(0)|顶(0)
50楼

beihai
2021-7-14 00:21

目录爆出来了，但不是sql的报错

回复|@ta|踩(0)|顶(0)
49楼

ghostz
2021-7-14 00:04

能收集到信息就有利用的价值！

回复|@ta|踩(0)|顶(0)
48楼

fenjisec
2021-7-13 17:21

控制台看看是不是伪静态吧

回复|@ta|踩(0)|顶(0)
47楼

longbbyl
2021-7-13 14:19

最多也就是敏感信息泄露

回复|@ta|踩(0)|顶(0)
46楼

coderzgh
2021-7-13 14:00

G0mini：
之前在ctf遇到过，表哥你可以这样试试/https://ip/newsshow/id/529 如果是伪静态的话，他其实是这样的https://ip/newsshow?id=529这样注入试试
回复|@ta
1

是这样的

回复|@ta|踩(0)|顶(0)
45楼

r0n1n
2021-7-13 12:33

这个是代码逻辑写的不规范吧，报错不是这样的

回复|@ta|踩(0)|顶(0)
44楼

狂魔是2B
2021-7-13 11:37

zhizhouvip 两处露点，第一张图的内容和第二张图的字符

回复|@ta|踩(0)|顶(0)
43楼

GGeneration
2021-7-13 11:13

这个只能收集下报错信息，在发现其他漏洞，比如文件包含时候利用

回复|@ta|踩(0)|顶(0)
42楼

Supost
2021-7-13 11:10

源码报错了可以收集下路径找找其它面页有没有漏洞

回复|@ta|踩(0)|顶(0)
41楼

Mi_White
2021-7-13 08:15

不是注入,php debug模式

回复|@ta|踩(0)|顶(0)
40楼

APD79
2021-7-13 01:19

这个不是sql注入

回复|@ta|踩(0)|顶(0)