0x2E.SQL手工注入漏洞测试(SQLite数据库)
通过加单引号及使用and进行判断存在sql注入;
使用order by测试存在4列;
通过联合查询得到显示位;
通过sqlite_master隐藏表爆表名及建表语句;
建表语句中可以得到表名及列名,可以爆出数据;
Md5解密后得到密码;
登录得到key;
SQLite存在sqlite_master表,表中有name和sql属性,可以通过这两列得到数据库的表名和列名;
通过加单引号及使用and进行判断存在sql注入;
使用order by测试存在4列;
通过联合查询得到显示位;
通过sqlite_master隐藏表爆表名及建表语句;
建表语句中可以得到表名及列名,可以爆出数据;
Md5解密后得到密码;
登录得到key;
SQLite存在sqlite_master表,表中有name和sql属性,可以通过这两列得到数据库的表名和列名;