安全矩阵

 找回密码
 立即注册
搜索
查看: 6593|回复: 0

SQL注入基础(Burpsuite2020.08爆破数据库)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-11-17 16:18:02 | 显示全部楼层 |阅读模式

SQL注入基础(Burpsuite2020.08爆破数据库)

别把自己过得像个落难者,忙着告诉所有人你有多不幸,成长本来是孤立无援的过程,你够努力,全世界都会对你和颜悦色。。。

----  网易云热评
一、爆破数据库名长度
1、打开Burpsuite,打开自带的浏览器,启动拦截

2、浏览器访问http://192.168.77.128/sqli/Less-8/?id=1' and length(database())=8%23,包被拦截

3、右击数据包,发送到测试器

4、将测试的数据标记一下

5、设置payload,数值,从1开始增加到15,点击开始攻击

6、查看结果,经过返回的长度对比,只有8的长度和其他不一样,经过测试8就是数据库名的长度


二、爆破数据库名称
1、浏览器访问:http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr(database(),1,1))=115 %23
2、抓包,发送到测试器,并将字符的位置1,和对应ASCII码115设置为测试的数字,攻击类型设置为集束炸弹

3、设置payload,知道数据库名的位数是吧,所以第一个设置1-8,a-z的ASCII码是97-122,点击开始攻击


4、最后发现只有8个长度不一样,正好对应数据库的名称



禁止非法,后果自负
欢迎关注公众号:web安全工具库


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 11:50 , Processed in 0.012983 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表