SQL注入基础(Burpsuite2020.08爆破数据库)

gclome

SQL注入基础(Burpsuite2020.08爆破数据库)

别把自己过得像个落难者，忙着告诉所有人你有多不幸，成长本来是孤立无援的过程，你够努力，全世界都会对你和颜悦色。。。

----  网易云热评
一、爆破数据库名长度
1、打开Burpsuite，打开自带的浏览器，启动拦截
​
2、浏览器访问http://192.168.77.128/sqli/Less-8/?id=1' and length(database())=8%23，包被拦截
​
3、右击数据包，发送到测试器
​
4、将测试的数据标记一下
​
5、设置payload，数值，从1开始增加到15，点击开始攻击
​
6、查看结果，经过返回的长度对比，只有8的长度和其他不一样，经过测试8就是数据库名的长度
​

二、爆破数据库名称
1、浏览器访问：http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr(database(),1,1))=115 %23
2、抓包，发送到测试器，并将字符的位置1，和对应ASCII码115设置为测试的数字，攻击类型设置为集束炸弹
​
3、设置payload，知道数据库名的位数是吧，所以第一个设置1-8，a-z的ASCII码是97-122，点击开始攻击
​
​
4、最后发现只有8个长度不一样，正好对应数据库的名称
​


禁止非法，后果自负
欢迎关注公众号：web安全工具库