Pikachu 漏洞练习平台Sql Injection字符型注入(get)通关指南pika~pika~
2023-03-09 00:28 作者:Yukito_online | 我要投稿
ok,废话不多说,上菜!
字符型注入的检测方式和数字型差不多只是多加了一个引号有时还需要闭合括号
burp和postman我懒得开了,hackbar就够了,可以去Firefox扩展商店下载一个
注入点在name参数
输入‘报错,表示存在字符型注入
输入' or 1=1--+输出全部用户,继续用order by判断字段
' order by 3--+时报错说明存在两个字段
下面就是跟整数型一样,拿库名拿表名拿列名拿数据
收工,睡觉
