Post注入: 一般存在搜索框或登入页面位置,需要用burp抓包查看。 可以看到post数据中nama表单传的值为hack 用hackbar插件post数据中将传的值后面输入单引号或and 或 order by测试 输入单引号报错,查不到任何数据,由此判断存在post注入。 由于测试的为搜索框所以测试语句为%%27%23,才能正常查询出数据 注意在hackbar中是需要url编码才可以。 确定存在post注入,也确定注入类型为搜索型注入,既可以构造搜索型注入语句。 之后可以通过内联注入来获取数据了。