- 博客(1)
- 收藏
- 关注
RSS订阅原创 SQL注入之SQLI-LABS靶场通关秘籍
反之,参数不符合规范,则会触发报错,我们就是利用这个,通过 updatexml() 函数的报错回显我们需要的信息。注入流程与 Less-5 类似,不过这里的判断标准不是回显的信息,而是响应时间。因此网页存在字符型注入漏洞,并且使用单引号和括号进行闭合,注意到此网页并没有返回任何信息,我们需要使用 Bool 盲注进行注入。注入万能密码试试,用户名随便写点东西,使用 OR 运算符构造恒真条件,使用“#”注释掉后面的内容注入,网页提示我们注入成功,由于此时使用的时单引号闭合,因此这里是字符型注入。
2024-07-03 16:30:44
1753
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人