基于insert update delete的注入利用
一、insert/update注入
打开Pikachu中的insert/update注入
点击注册界面
首先测试注入点,通常我们用”单引号“来测试,在必选项上分别输入”单引号“
因此,我们可以利用报错获取信息
用户名输入nihao’ or updatexml(1,concat(0x7e,database()),0) or ’
密码随意输入,即可得到下图:
【注:database()可改为数据库版本,用户名,密码或者其他】
update注入:登陆后点击修改个人信息,输入的payload同上:nihao’ or updatexml (1,concat(0x7e,database()),0) or ’