墨者学院在线靶场中SQL手工注入漏洞测试(MySQL数据库)
墨者学院在线靶场中SQL手工注入漏洞测试(MySQL数据库)
打开环境
点击箭头指向链接
观察网页的URL发现有id=1,可能存在SQL注入点。
首先对URL进行尝试猜列名数量(字段数),在URL后面添加order by 1或者2 直到出现页面不在显示正常页面,这就说明存在的字段数应该是现在所输入的数字减1。
此处order by 4页面显示正常而order by 5出现页面不正常显示说明只存在4个字段(注此方法只适用于字段数不是很多的时候)。
然后查看哪个字段能显示出来
在URL后面联合查询 un
原创
2021-05-07 13:11:05 ·
673 阅读 ·
0 评论