一、burpsuite抓包
先在登录框随便输入值,用burpsuite抓包
![](https://i-blog.csdnimg.cn/blog_migrate/52a24a32002ceb135f0ad4ed8035b9fc.png)
![](https://i-blog.csdnimg.cn/blog_migrate/0954b92d66711b34920e59aaf70e1848.png)
从抓包结果得出是POST请求
判断注入类型
![](https://i-blog.csdnimg.cn/blog_migrate/e23fb720d2caf5a0167d354bc9c054d1.png)
由上图可知是单引号字符型注入
--+是在url中使用,所以此处不能使用--+,需要使用#
![](https://i-blog.csdnimg.cn/blog_migrate/7c892588d6409b0fed6a0e5c918f5b15.png)
尝试用万能密码登录
加上万能语句or 1=1#,修改为admin’or 1=1#,发现登陆成功
先在登录框随便输入值,用burpsuite抓包
从抓包结果得出是POST请求
由上图可知是单引号字符型注入
--+是在url中使用,所以此处不能使用--+,需要使用#
尝试用万能密码登录
加上万能语句or 1=1#,修改为admin’or 1=1#,发现登陆成功