- 博客(3)
- 收藏
- 关注
原创 继昨天第一次挖出SQL注入漏洞,今天尝试扫出他的数据库
因为尝试用百度去输入同样的东西,但是他反馈给你的不是很多,给大家看一下我用百度和谷歌输入上面的对比,你们自己也可去尝试一下,因为各有所爱把!说明一下,如果有跟我一样的小白第一次挖洞的话,你在尝试用 ' 闭合时候或者 输入 and 1=1 | 1=2 的时候有什么D盾、安全狗等的WAF的拦截提醒时,你就直接放弃,去找下一个没有WAF的网站,这样的网站也是很多的!看他这个显示出来这个页面,说明我有机会,然后我尝试输如 and 1=1 | 1=2,它还是同样的页面,直接丢入到sqlmap中去,让它去扫描一下。
2024-01-06 18:57:48 776
原创 记录自己第一次挖掘SQL注入漏洞
然后它报错了,说明可以注入啊,然后我就在后面加入 and id 1=1 | id 1=2 他都是报错的说明他存在sql注入点,然后我就使用sqlmap -u 网址 来扫描它,刚开始他扫描的时间是非常长的,这里面我没有修改测试的等级和执行测试的风险就扫描出来了。后面我尝试了去获取他的数据库,但是跑不出来!最后修改level的等级为3也获取不到!接着我后面就挨个去尝试在ID后面加 ' 让它闭合看一看。可以发现他是存在基于布尔值的盲注的扫描到这里就可以了。小白第一次挖洞,大佬勿喷!
2024-01-05 19:42:12 495
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人