1.判断是否存在sql注入漏洞
看到Click [here to change your ID]页面做了自动跳转,防御了自动化的sql注入
出现报错,存在sql注入
2.判断注入漏洞的类型
不是数字型注入
可以看到这个为字符型注入
3.猜解数据库
猜解并验证列数
数据库字段为2
获取数据库信息
查询用户名和数据库名
爆表名
爆出users中的字段名
获取字段中的user和password
版权声明:本文为m0_46616663原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。