SQL盲注与SQL普通注入的原理一样,区别是普通注入可以有结果集返回(查询结果,错误信息提示等),盲注的执行结果要么是TRUE要么是FALSE,提示信息的缺乏也使盲注的难度相对高一些。
本Lesson的目标:The goal is to find the value of the field pin in table pins for the row with the cc_number of 1111222233334444. The field is of type int, which is an integer.
1. 工具准备
1)JHijack
http://sourceforge.net/projects/jhijack/
java工具,可以批量执行制定规则的参数(数字区间)组合,执行成功的参数(grep字符串匹配结果)会单独标记出来。
2)WebScarab
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project