这道题目相对简单,有点类似于Bugku-web中成绩查询的注入方法,主要为了锻炼自身SQL注入能力和SQL语句的熟练应用,多见见题目!!这道题目将从手动和sqlmap工具两个方面进行解答。
附上题目链接:https://www.mozhe.cn/bug/detail/82
第一种方法:手动(这道题目比较简单的地方就在于没什么过滤):
打开题目,发现一个由账号和密码组成的表单,尝试多次,发现账号和密码不能为空且账号和密码不能出错,各种摆弄无疾而终,痛定思痛,决定让自己沉寂下来,仔细想想SQL注入的地方是不是不对……就在打开源码的一瞬间,好像看到了希望,在源码中发现了另一个url,而这个url的payload深深吸引了我……
激动之余,首先检测该页面是否存在注入点。分别用id=1’、id=1 and 1=1以及id=1 and 1=2进行测试。
墨者学院-SQL手工注入漏洞测试(MySQL数据库)
最新推荐文章于 2024-05-16 02:46:29 发布