海宝最美的博客

靶机地址：http://www.whalwl.top:8011【2020年8月前有效】 1、http://www.whalwl.top:8011/wide.php?id=1%bf' and 1=1 %23 //不报错 http://www.whalwl.top:8011/wide.php?id=1%bf' and 1=2%23 //报错 代码执行，说明存在注入 2、i...

靶机地址：http://www.whalwl.top:8009 【2020年8月前有效】 一、准备工作： 在火狐浏览器上安装一个叫ModHeader的插件，请求头修改神器。 记住它的样子，然后就可以行动了。怎么弄插件，此插件怎么用，请大家自行百度，我是不会跑题的。 二、过程步骤： 1、判断是否存在注入 id=1’ //报错 id=1 and 1=1 //不报错 i...

SQL字符型注入 靶机地址：http://www.whalwl.top:8005//bug/sql_injection/sql_string.php?title=1&submit=submit【2020年8月前有效】 多点几次submit，它会出现这么个玩意 都说了是字符型，直接上 whalwl' //报错 whalwl' # //注释单引号，不报错 ...

SQL数字型GET注入02 靶机地址：http://whalwl.site:8034/ 【2020年8月前有效】 话不多说，打开网址，看到有个交互式的搜索框，直接干 输入1，没毛病 输入1’ ，报错 查看错误提示，多了一个单引号’，用#注释，没毛病 1' order by 14 # //查看字段数，即列数【用二分法一个个尝试，发现order by 15时报错，14刚...