1.判断是否存在sql注入漏洞
看到Click [here to change your ID]页面做了自动跳转,防御了自动化的sql注入
出现报错,存在sql注入
2.判断注入漏洞的类型
不是数字型注入
可以看到这个为字符型注入
3.猜解数据库
猜解并验证列数
数据库字段为2
获取数据库信息
查询用户名和数据库名
爆表名
爆出users中的字段名
获取字段中的user和password
看到Click [here to change your ID]页面做了自动跳转,防御了自动化的sql注入
出现报错,存在sql注入
不是数字型注入
可以看到这个为字符型注入
猜解并验证列数
数据库字段为2
获取数据库信息
查询用户名和数据库名
爆表名
爆出users中的字段名
获取字段中的user和password