0x01判别方式
在进行注入时,经常会碰到一些.html的网页,每次我都认为这是静态的,但是同事却说有的是伪静态的,那要怎么判断呢?
在要判断的网页的地址栏输入:javascript:alert(document.lastModified)
如果显示的时间与电脑显示的当前时间一致,说明为伪静态,如果不一致,这是静态,因为静态网页的修改时间,即它的生成时间。
在平时的测试过程中我们经常会看到这样一类奇特的地址:
http://xxx.xxx.xx.xx:xxx/test.php/id/1.html (原型一般为:http://xxx.xxx.xx.xx:xxx/test.php?id=1 )
像上面这种类型的网址URL,往往是一种伪静态网页,遇到这种情况可以直接对".html"之前的参数加“'”进行判断是否存在注入!
0x02如何对伪静态网站进行注入
对于伪静态网站可以使用sqlmap工具进行自动化注入攻击
命令如下:
sqlmap -u http://xxx.xx.xx.xx:xx/test.php/id/1.html --database