背景介绍:
WEB业务系统中,POST方式提交数据很常见,如登录框、留言评论等可能都会用到,这种与GET方式其实差别不大,一样会存在SQL注入的漏洞。试试吧!
实训目标:
1、掌握POST提交数据方式;
2、掌握POST方式的SQL注入;
3、了解MySQL数据库的结构;
4、了解SQL注入产生的原理;
5、了解SQL注入可能产生的地方;
解题方向:
通过POST方式进行SQL注入,获取数据库的账户密码;或通过绕过方式进入管理后台。
解题步骤:
1. 开启环境访问网站:124.70.71.251: 44656/
2. 抓取登录包:
3. 发送给重放器:
4. 判断有几列:
5. 判断回显发现key.: