9.二次注入

原理

图解

实例解析原理

user_id='1''查询报错

 

user_id='1\''正确查询

 

二次注入代码审计

 

 

 

 

黑盒测试下的二次注入

 

实战1：修改目标账户密码

前置要求，现在我们有一个目标账号hudongyang

但是我们不知道他的密码，怎么办呢，可以利用二次注入

这是hudongyang的账号

账号hudongyang密码123456789

我们登录

登录成功

这时，我们再创建一个hudongyang'#账号

密码为111111

这时我们登录hudongyang'#的账号修改他的密码

 

将它的密码改为222222

 

 

密码更新成功

这时，我们更新的其实是hudongyang的密码

我们利用密码222222登录hudongyang账号

 

登录成功！！！

这就是二次注入！

hudongyang'#的密码没变

登录成功

从用户角度来说，这个账户的密码永远不会被修改的