实验平台:
皮卡丘靶场—字符型注入
payload:
kobe’ and exists(select * from aa)#
(1)将kobe’进行查询;
(2)将and作为运算符;
(3)猜测表aa是否存在,该表名是个字典。若表名存在,表达式为真;否则表达式为假。
实验步骤:
- 输入payload kobe’ and exists(select * from aa)#查看查看报错信息:
- 通过burpsuite将数据包抓下来,并且发送到intruder里面:
这里要暴力破解的对象是表名aa,因此在此处添加§;
- 添加字典:
- 通过返回结果