Sqli-labs-Less-18
通过测试发现,在登录界面没有注入点,通过已知账号密码admin,admin进行登录发现:
返回了User Agent,设想如果在User Agent尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。
使用单引号' 测试得到了报错即: ' 为闭合方式
#自动化注入-SQLmap工具注入
SQLmap用户手册:文档介绍 - sqlmap 用户手册
由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件
在user-agent处加上*代表注入点
