技术笔记

SQL注入攻击Web应用程序

http://192.168.80.151

打开Burp Suite应用程序,启动一个新项目,然后转到“代理”选项卡并确保按下“拦截已打开”。这将允许我们从网页修改请求并插入不同的值来测试SQL注入。回到登录页面,test 并尝试登录,右击Send to Intruder

转到“Intruder”,单击“Positions”。Burp Suite会自动配置插入有效负载的位置,通过按右侧的“Clear”清除所有位置。突出显示为用户名输入的值,然后单击“Add”按钮。我们将使用“Sniper”攻击类型

SQL查询通过使用语句与数据库中的数据进行交互来工作。该SELECT语句用于检索数据
SQL注入命令'或1 = 1--

SELECT username, password FROM users WHERE username='myname' AND password='mypassword';
SELECT username, password FROM users WHERE username='' or 1=1-- AND password='';

单击“Payloads”,然后转到“Payload Options”点击“Load”,位置/usr/share/wordlists/wfuzz/injection/SQL.txt

admin
我还没有学会写个人说明!
查看“admin”的所有文章 →

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关推荐