前言
本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。
进入主题
1.访问题目,是个典型的登录框
2.尝试输入admin/123456,提示密码错误,因此可以确定存在用户admin,这里可能会有师傅要爆破了,但这里题目要求sql注入,我们就按照预期解来吧。
3.我自己写了个简单的fuzz burp插件,先将登陆请求包发送到插件扫描,可以看到是存在盲注的,payload的形式为: