今天完成了sqli-lab 11-16【post注入】,其实都是没太大区别的,要么是单引号的补全问题,要么就是报错信息会被注释掉,要自己用布尔或者时间型盲注猜解。
以前一直做的搜索框、登录框那些就是post注入,现在回想起以前那些题感觉还是挺简单的,打算等等去某吧继续做一下CTF题巩固一下。
post注入要点:
一是要留意单引号或者括号的闭合,后续的多余部分要记得注释掉,其次就是在username框中构造注入语句,在password框中一般是无效的。
二是尽量选择盲注,因为报错信息多数不可见,可以先用username=admin' or '1'='1 -- -去试探一下是否有报错信息或者错误回显。
emmm,今天的收获大概就是这些,如果还有我再补充。
进度:
sqli-lab 16/65
post入门✔,盲注✔,报错注入✔
明日计划:
sqli-lab 17-??
复习最近学到的东西。