墨者学院--SQL手工注入漏洞测试(Access数据库)

时间:2024-04-11 07:56:22

墨者学院–SQL手工注入漏洞测试(Access数据库)

靶场入口

解题思路:

  1. 判断是否存在sql注入

  2. 利用order by判断字段数量

  3. 联合注入猜测表名

  4. 联合注入猜测列名

  5. 登陆,拿KEY

打开题目,页面如下所示
一、 点击蓝色划线区域,跳转下一正常页面(跳转页面出现id=1)
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
二、判断存在注入(/ 、-0 、 and 1=1)
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
三、判断字段数量(order by 4/5)
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
三、猜测表名(admin_user/admin)
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
四、由返回正常的页面可知,在2、3字段可爆出列名,进行猜测
Passwd username
墨者学院--SQL手工注入漏洞测试(Access数据库)
五、MD5解密,登陆
墨者学院--SQL手工注入漏洞测试(Access数据库)
墨者学院--SQL手工注入漏洞测试(Access数据库)
恭喜发财拿到key!