title: ‘ZVulDrill靶场’
date: 2019-03-13 20:40:06
tags: [靶场,代码审计]
最近遇到了一个靶场
#ZVuldrill靶场练习
靶场下载链接
###(1)SQL注入查询数据库信息
打开一看,有个很显眼的搜索留言的框框,随便输入了一个1,发现URL变成了
‘http://localhost/ZVulDrill/search.php?search=1’
立马想到了SQL注入查数据库,于是尝试1’
再尝试#,发现报错
使用%23代替#,不再报错
猜字段,猜出有4个
爆数据库名