目录
环境
windows 10
phpstudy2018 ,sqli-labs靶场,Firefox浏览器插件hackbar
实验
payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的,可返回shell,也可以进行程序注入等。
1、访问sqli-labs网站
访问靶机sqli-labs靶场
修改参数
2、寻找注入点
报错,说明存在sql注入点
未正常显示
正常显示
3、判断网站查询的字段数
通过order by
判断出网站查询字段数为3。
4、判断网站的回显位置
5、获取网站当前所在数据库的库名
6、获取数据库security的全部表名
7、获取users表的全部字段名
8、获取users表id、username和password字段的全部值
通过修改limit的值来显示后面的值。