1 如何借助 Burp Suite 批量猜解数据库长度?
参考答案
1)暂时停止 Burp Suite 代理拦截,使用浏览器访问新闻页面,并进行普通 SQL 注入猜解数据库长度。
1. http://192.168.60.128/news/show.php/?id=55 and length(database())=n
2)启用 Burp Suite 代理拦截功能, 再进行注入操作,可以看到拦截的信息。
3)使用 Intruder 模块,在 “positions” 选项卡中设置 “n” 为变量。
4)在 “payloads” 选项卡中设置 “n” 的取值范围是 1~20,最后单击 “Start attack” 开始攻击。
5)在弹出的 “Intruder attack” 对话框中,观察 “Length” 列数据,得知数据库长度是“4”。
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/INJECTION/DAY03/EXERCISE/01/index_answer.html
若有收获,就点个赞吧
0 人点赞
