什么是sql注入(sql注入在线练习)

精英怪
广告

前言

什么是sql注入(sql注入在线练习)

小伙伴们在练习的过程当中,难免会遇到环境配置问题,等等各种小问题,但是在线靶场就完美的填补了这个空缺,此次水文章,没有恰饭,只是介绍一下。(其实就是想水一篇)

介绍及使用

其实还是比较多滴

新用户注册送了20个币,可以用很长时间,高级环境除外,鄙人也只是白嫖

咱就直接开个sql注入测试

登录界面无法直接注入,用户名和密码也没有,但是我们将鼠标移动到下方的新闻栏中,就打开了一个网页

在上方的地址栏中看见了啥,id=1,把id后面的1变成其他的数字或者字母看看

发现并没有提示什么,盲注我就不用了,鄙人极蔡

咱直接sqlmap跑起来

sqlmap yes

[22:36:25] [INFO] the back-end DBMS is MySQL

web application technology: Nginx, PHP 5.6.39

back-end DBMS: MySQL < 5.0.12

出了下面这些表,stormgroup表内就有我们需要的数据

找到表的字段里的内容

到这里就算结束啦,不过我们需要去md5解密一下,密文就出来了,然后登录后台,后台就有key

结尾

好好学习,天天向上。

网站名称墨者学院,自己搜索。

发表评论

快捷回复: 表情:
AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
评论列表 (暂无评论,254人围观)

还没有评论,来说两句吧...