配置好dvwa,进行SQL注入
直接输入 ID=1' 网站会报错,猜测后台 id='input' ,用1' and'1'='1 验证,发现返回正确,可以开始注入。
首先通过order by 查看字节数,然后通过union select 1,2发现两个位置都可以回显;
开始找数据库名字,找数据表,找字段名,找账号密码;
问题在于密码是哈希值,通过转换才可以得到密码;
尝试用新账户登录,登陆成功;
进阶阶段,测试权限,上传木马,完成。
配置好dvwa,进行SQL注入
直接输入 ID=1' 网站会报错,猜测后台 id='input' ,用1' and'1'='1 验证,发现返回正确,可以开始注入。
首先通过order by 查看字节数,然后通过union select 1,2发现两个位置都可以回显;
开始找数据库名字,找数据表,找字段名,找账号密码;
问题在于密码是哈希值,通过转换才可以得到密码;
尝试用新账户登录,登陆成功;
进阶阶段,测试权限,上传木马,完成。
本文标题:DVWA初级SQL注入
本文链接:https://www.haomeiwen.com/subject/ckyidftx.html
网友评论