验证方法,在账号密码处输入' 如果报错说明有该漏洞存在。
用burp抓包,具体怎么做,之前博客里有: http://blog.csdn.net/qq_36512966/article/details/70976527
然后用sqlmap跑包。
命令为:sqlmap -r “包的地址”
如图,成功注入。
是sa权限,而且可以直接仔细--os-shell命令,离内网已经很近了。
验证方法,在账号密码处输入' 如果报错说明有该漏洞存在。
用burp抓包,具体怎么做,之前博客里有: http://blog.csdn.net/qq_36512966/article/details/70976527
然后用sqlmap跑包。
命令为:sqlmap -r “包的地址”
如图,成功注入。
是sa权限,而且可以直接仔细--os-shell命令,离内网已经很近了。