目录
靶场地址
该靶场由墨者学院安全工程师“墨者”所搭建,靶场环境为Nginx+PHP+MySQL,启动靶场只需1墨币(注册的时候会送十几个墨币并且不会重复消耗,只需要尽情练习即可),靶场地址:
https://www.mozhe.cn/bug/detail/elRHc1BCd2VIckQxbjduMG9BVCtkZz09bW96aGUmozhe
步骤详解
- 观察首页,是否有注入入口
表单处无法进行注入,这时可以发现滚动栏有个通知,点开之后发现这是一个可能存在注入入口的页面。
通知页如下图所示:
地址栏带参数id=1 ,说明这个页面很有可能是从数据库返回的数据。
- 在地址栏参数部分添加sql语句
and 1=2
,查看是否可能实现注入。