Sqli-labs靶场第20关详解[Sqli-labs-less-20]自动化注入-SQLmap工具注入

时间:2024-03-07 11:47:03
Sqli-labs-Less-20

通过测试发现,在登录界面没有注入点,通过已知账号密码admin,admin进行登录发现:

登录后会有记录  Cookie 值

设想如果在Cookie尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。

#自动化注入-SQLmap工具注入

 SQLmap用户手册:文档介绍 - sqlmap 用户手册

 由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包  用-r 选择目标txt文件

在Cookie 处加上*代表注入点

python sqlmap.py -r data.txt  --current-db --batch

爆出当前的数据库名

成功管理用漏洞!!!