網路資訊保安學習平臺--注入關第5題
阿新 • • 發佈:2019-01-31
網路資訊保安學習平臺網址:http://hackinglab.cn/
1、在網頁註釋的提示中,id=1,原以為注入點是id,結果經過多次測試,無法注入。網上搜索,得到提示是圖片注入。 2、從圖片入手,輸入如下內容,產生錯誤提示如下圖 說明確定存在注入點 注:使用的是Firefox上的httpRequest外掛。使用burp suit未出現以上提示。 3、輸入以下內容,爆庫名 http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/cat1.jpg%bf%27%20union SELECT 1,2,concat(user(),0x20,database(),0x20,version()),4 limit 0,2%237、訪問圖片地址,看看結果吧