SQL注入 - POST型注入演示
工具准备
1、靶场(bWAPP)
2、抓包工具(Fiddler)
备注:bWAPP靶场搭建请看上一篇文章。抓包工具演示是使用的是Fiddler,也可以使用其他抓包工具。
漏洞选择
漏洞探测
执行查询用抓包工具查看查询请求内容,从请求中可以获取的信息如下。
通过抓包工具修改请求参数,进行漏洞探测,经过探测后可以确定的是此处查询存在注入漏洞
漏洞分析
当我们知道此次存在漏洞时,下一步就是要分析此处漏洞类型及利用方式,还是用上一篇的通过union语句进行分析
通过拼接union语句结合返回信息可以确定,该漏洞支持union联合注入。
漏洞利用
当注入攻击者分析完漏洞掌握了漏洞的类型及返回数据方式后,就可以通过编写特定的sql语句获取目标数据库的相关信息,注入的目的业绩达到了。
利用注入漏洞可以猜解后台数据库,盗取网站敏感信息、绕过验证登录网站后台、借助数据库的存储过程进行提权等操作。
欢迎大家关注我的订阅号,会定期分享一些关于测试相关的文章,有问题也欢迎一起讨论学习!