解题思路
打开网站,检查常见的信息泄露,漏洞扫描等,都无hint。这时候有点难办了,又找了一会儿,发现抓包标签时,get的值会有参数
尝试访问,发现有如下内容:
因为实在其他地方找不到任何思路了,看着这个url,尝试一下sql注入把
SQL注入发现有漏洞,果然是走这条路
sqlmap
sqlmap可以自动注入,那直接burpsuite抓包到本地进行注入
注出数据库:
注出表名:
注出列名:
注数据:
总结思路
思路比较难找,题目并没有任何信息,hint,常见的方法都不知道考点在哪后,一定要细心,仔细找,发现漏洞点
知识点
- sql注入