摘要:
Web安全测试时经常会遇到一些蹩脚的注射点,而因各种原因利用注射又无法获取网站管理账号或拥有网站管理权限却迟迟不能upload一个shell的时候,可能会权衡一下web权限与数据库信息,哪个是我们所需要的。当需要的仅为数据库某个表的数据,如会员信息,而我们又没有得到数据库管理权限,无法直接导出数据,可以考虑利用注入逐个暴出数据导出,这里分享的小方法便是利用burp使得这个过程简单化。像检测到注入后使用穿山甲,sqlmap等dump数据库信息时,毕竟有诸多限制。穿山甲可以逐条跑,但是程序容易崩溃。至于sqlmap,个人使用时感觉有时速度不佳,而burp则解决这个问题。以本地搭建环境为例,注射点为 阅读全文
