测试SQL注入偶尔会遇到SQLmap跑不出的情况,本文针对其中一种情况进行分析
使用dvwa环境-SQL注入模块进行分析
提交参数“1”,提示数据库中存在该值
提交“-1”,显示数据库中不存在,据此可知“1”存在于数据库中,而“-1”不存在
burpsuite抓包,参数传递如图
提交URL编码的payload(参数是url传递),因为参数1存在于数据库中,逻辑关系为and,左右两边条件都为真,整个逻辑运算结果为真,payload成功执行 ,数据库产生延时效果
有延时效果产生
测试SQL注入偶尔会遇到SQLmap跑不出的情况,本文针对其中一种情况进行分析
使用dvwa环境-SQL注入模块进行分析
提交参数“1”,提示数据库中存在该值
提交“-1”,显示数据库中不存在,据此可知“1”存在于数据库中,而“-1”不存在
burpsuite抓包,参数传递如图
提交URL编码的payload(参数是url传递),因为参数1存在于数据库中,逻辑关系为and,左右两边条件都为真,整个逻辑运算结果为真,payload成功执行 ,数据库产生延时效果
有延时效果产生