本篇说的是暴力破解数据库的表名
原理:就是暴力破解,不断地猜它的表名。
在一个漏洞,非常,非常,非常,非常多的一个字符型注入靶机上,payload:
kobe’ and exists(select * from 你猜的表名)#
发送一次之后,用bp把包发送到intruder里边,让你猜的表名变成变量,让bp不停的猜,从而碰撞出一些有效的表名出来。
学到的东西:那个bp工具里边的flag可以不用错误的全部,一部分也可以.
暴力破解在sqli漏洞中的应用(本篇没什么东西,几乎是应付作业检查)
最新推荐文章于 2023-10-19 18:06:12 发布