本文描述了一次针对数据库安全的渗透测试过程,通过查询和猜测技术识别出潜在的注入点,尝试获取Pikachu数据库的详细信息,包括名称、版本、权限,以及发现message字段可能没有存储实际数据的迹象。
输入?id=1,尝试查询数据
判断有无注入点
猜解列名数量
使用联合查询判断回显点
获取此靶场的数据库名,数据库版本号,权限账户等信息
通过系统库,查询存在的数据库
设定目标为pikachu数据库
查询pikachu库,存在的表
查询存在的字段
发现并没有字段的数据回显
通过对其他数据库的字段进行查询,判断应该是此字段中未存储实际数据
通过查询,发现message确实为空
扫一扫
评论 1
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
