靶场渗透实战:利用POST注入漏洞获取后台key
1.购买靶场后打开,由于题目是post注入漏洞,直接输入用户密码进行抓包并发送到重放器
2.寻找注入点
在name之后加单引号引起报错,则name可作为注入点
注:此处不可使用 --+ 闭合, + 会被识别为空格,由于账号栏后方为空,空格会被省略,使用 # 即可
3.判断有几列数据
order by 3 未报错,order by 4 报错,证明有三列数据
4.使用联合查询查看回显点
正常流程应该是查到回显点后,在其位置查所在数据库,数据表,列名以获取账号密码登录后获取 key ,但这里不知道为什么直接登录到了后台,直接获取了key
5.将数据包复制后,替换原本的数据包,放行后就会成功登录后台,复制 key 并提交
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
