2020年4月24日
[极客大挑战 2019]HardSQL
摘要: 记得比赛的时候我用的是报错注入 随便输入用户名和密码进行抓包。 用户名输入单引号之后报错,简单测试一下and or这些被过滤掉了 使用^异或符号替换and 证明可以使用^替换,^符号未被过滤,添加报错注入的payload,报错注入的原理网上有很多优秀的文章,使用payload之前可以先看一下: ex 阅读全文
posted @ 2020-04-24 14:20 春告鳥 阅读(985) 评论(2) 推荐(2) 编辑