启动靶机 作者不建议使用sqlmap我们这里就进行手工注入 用万能口令登录 admin ' or 1 =1# ,详情见上文(https://www.cnblogs.com/m1saka1/p/18411197) 登录成功获得用户名和密码,发现密码并没有卵用,只能换思路利用账号密码的回显页面进
1、首先查看页面源代码: 我们发现可以使用工具sqlmap来拿到flag,我们先尝试手动注入。 2、 打开靶机,映入眼帘的是登录界面,首先尝试万能密码能否破解。 username: 1' or 1=1 #password: 随便写任意值 提交submit,发现可以登录: 并在Your password 处发现一段乱码,疑似为flag,提交发现错误,这并不是flag,说明flag在...
1、首先查看页面源代码: 我们发现可以使用工具sqlmap来拿到flag,我们先尝试手动注入。 2、 打开靶机,映入眼帘的是登录界面,首先尝试万能密码能否破解。 username: 1' or 1=1 #password: 随便写任意值 提交submit,发现可以登录: 并在Your password 处发现一段乱码,疑似为flag,提交发现错误,这并不是flag,说明flag在...