声明:文章由作者学习或练习过程中的步骤及思路,非正式答案,仅供学习和参考。
背景介绍
WEB业务系统中,POST方式提交数据很常见,如登录框、留言评论等可能都会用到,这种与GET方式其实差别不大,一样会存在SQL注入的漏洞。试试吧!
实训目标
1、掌握POST提交数据方式;
2、掌握POST方式的SQL注入;
3、了解MySQL数据库的结构;
4、了解SQL注入产生的原理;
5、了解SQL注入可能产生的地方;
解题方向
通过POST方式进行SQL注入,获取数据库的账户密码;或通过绕过方式进入管理后台。
解题思路:
postgreSQL和mysql语法和数据库结构上有区别,但整体思路区别不大
既然是post,那就直接抓包吧,言简意赅,暴力手段
抓到之后放入一个txt文档并且用*标记注入点(name=1后面)
让伟大的工具(sqlmap)帮助我们
用md5解码器将password解码,然后登录之后就会有key,成功通关