- 博客(1)
- 收藏
- 关注
RSS订阅原创 Sqli-labs第14关通关(三种方法)
一种是--data="',这种方便一点,不需要保存。直接将需要提交的数据复制粘贴过来就好了。因为一次性显示不完,所以加了个substr()截取。另一种是-r,这种需要先将http请求包保存到txt文件里面。登录成功和失败有不同的图片显示,所以可以使用布尔盲注。发现输入错误下方会有报错提示,所以可以尝试报错注入。根据报错的提示,可以判断出双引号闭合。这里面有很多命令,有需要可以查查。成功显示当前库名,可以继续爆表名。这里我就列名和字段一起爆了。成功登录时是flag.jpg。所以可以用脚本跑一下。
2024-10-06 21:36:14
1154
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人