1、先打开pikachu平台,我们之前的所有破解都是select操作的,我们接下来利用insert方法来利用漏洞,那么insert漏洞是什么呢,就是你在前端输入的错误信息会被拼接到后端的insert操作里面去,那么我们可以试一下随便输入一些信息发现它会报错就说明我们的信息是拼接到后端insert操作中的
2、我们可以在数据库中演示insert的操作方法,先自己写一个用户名和密码
然后我们来看一下它的闭合
之后我们可以自己构造一个闭合来计算在or和or之间写上自己的指令
它会先对第一个进行运算,然后在运算过程中对函数进行判断报错,当然我们可以不用or来闭合函数,思路与之前一样,之后我们可以对update做一下测试其实是和insert一样的。我们输入用户名和密码,进入网站后可以修改信息,这样其实我们就是在用update来修改数据库中我们插入的个人信息。
接着我们介绍delete注入,我们先看看burpsuite上截取数据包的类型,会发现我们刚才删掉的留言数据会在上面显示用户名和密码接着我们可以做它的编码
接着我们用burpsuite中的转化工具将它转化成url格式的文件
之后就会看到空格都变成了加号,点提交我们可以看到请求发送成功了,我们可以看到返回回来了。而这些与select的最大区别就在于select可以用联合查询,而这些不能,因为这些是操作行为,所以我们只能用函数报错的形式来获取信息
7152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
