小白浅谈SQL注入(二)
当你的才华
还撑不起的野心时
那你就应该静下心来学习
今天我们来实战(大佬勿喷)
这里我们使用dvwa进行实战。
实战坏境
下载DVWA 渗透演练平台,Dvwa是用php语言写的安全测试平台,所以我们先要创建一个php开发集成环境。我们可以采用最简单的方法,只要安装上phpstudy,就安装了php开发集成环境。
首先将DVWA解压在phpstudy的WWW目录中,
然后打开config,把config.inc.php.list改为config.inc.php,用记事本打开,修改配置。
然后打开(打开过程就不细说了),登陆(应户名:admin,密码:password)。
然后…开始正题。
dvwa之sql注入学习(不同级别)
等级(low)
从页面上看到,有一个可以提交查询内容的地方
我们可以通过以下步骤开始注入
1.判断这里是否存在注入点
- 输入1,提交
- 输入1’,提交
- 输入1 and 1=1,提交
- 输入 1 and 1=2,提交
从以上可以看出是存在注入点的,
2.判断字段数(二分法常用)
输入 1’ order by 3# 返回错误