进入网页,进行登陆尝试,发现用户名是admin,但是不清楚密码,因此应该是通过用户名来进行注入。并且发现and是被过滤了,会提醒是非法的字符。当用户名正确的时候,会提示密码错误,当用户名错误的时候会提醒用户名错误。因此可以利用这两个不同的提示来进行注入。
猜测是要获得数据库中的数据表的字段名,我猜测了数据表为admin还有flag,进行尝试后得到
因此md5解码得到密码,再去登陆。
进入网页,进行登陆尝试,发现用户名是admin,但是不清楚密码,因此应该是通过用户名来进行注入。并且发现and是被过滤了,会提醒是非法的字符。当用户名正确的时候,会提示密码错误,当用户名错误的时候会提醒用户名错误。因此可以利用这两个不同的提示来进行注入。
猜测是要获得数据库中的数据表的字段名,我猜测了数据表为admin还有flag,进行尝试后得到
因此md5解码得到密码,再去登陆。