暑假报了学校的培训,还不要钱,感谢学校,感谢培训的老师!老师让用docker搭了靶机,自己在靶机上做了做试验,感觉还是挺有收获的,正好写篇文章总结总结。
post型注入
常规的测试一下,发现有注入漏洞,F12查看参数
找到有两个显示位,通过命令查找库名,表明,获得数据
GET型注入
发现有id参数,尝试使用联合查询
注入成功。
SEARCH型注入
这个之前没见过,查了一下,发现应该是在数据库中查找东西,参数是keyword,尝试使用联合查询注入
成功!
二次注入
二次注入大概就是第一次注册的东西会存在数据库中,第二次只是调用库中的数据,尝试手注,失败了,上sqlmap吧,查看参数为my_id
这是前一周的成果,还有四周,我争取继续加油,嘿嘿!
