利用联合查询获取cms 网站后台管理员帐密
环境介绍
物理机:Firefox浏览器(上加入hackbar插件)
win2008虚拟机:搭建有cms网站(不会搭建的可以看我前面的博客)
判断网站是否存在sql注入漏洞
我们用物理机的Firefox浏览器访问虚拟机上的cms网站,F12打开开发者工具,在后面可以看到hackbar工具,点到该工具窗口。
首先我们先用最简单的方法判断是否存在漏洞。我们需要把地址框中的内容复制到hackbar框中,更改id的值,如果数据库中的内容回显到网页中,说明存在漏洞。