guestbook靶场练习--仅供参考

到用户登录页面,尝试登录,可以发现明显的注入guestbook靶场练习--仅供参考guestbook靶场练习--仅供参考

经过对网站各处的多次尝试,发现输入框存在时间盲注--网页回显明显延时:

admin ' and if(length(database())>=5,sleep(10),1)#

由于在输入框注入过于麻烦,于是用burpsuite抓包--发送到测试器:

构建sql语句:

guestbook靶场练习--仅供参考 有效载荷:
guestbook靶场练习--仅供参考guestbook靶场练习--仅供参考

 选项:

guestbook靶场练习--仅供参考

 开始攻击--爆库:

guestbook靶场练习--仅供参考

爆表:

其余步骤一样,变动sql语句:

guestbook靶场练习--仅供参考
guestbook靶场练习--仅供参考

 爆列名:

guestbook靶场练习--仅供参考role:

guestbook靶场练习--仅供参考username:guestbook靶场练习--仅供参考 password:

guestbook靶场练习--仅供参考

 爆数据:

guestbook靶场练习--仅供参考 用户名:admin
guestbook靶场练习--仅供参考

 密码:123456
guestbook靶场练习--仅供参考

版权声明:玥玥 发表于 2021-08-12 17:26:22。
转载请注明:guestbook靶场练习--仅供参考 | 女黑客导航