讲一下后台登录框注入吧 给不懂的朋友学习下 大牛飞过

打开网站是一个登陆界面,无会员注册的地方也没有旁站

尝试扫下目录几把毛都没有
1.png
账号输入a’ 密码任意

报错了
2.png
可能存在sql injestion

打开burp suite 抓后台数据包
3.png
把抓到的数据保存为1.txt

开启sqlmap来注入

顺便先看下数据库有哪些 语句如下
4.png
5.png
很好 果然存在注入点 如果是sa权限就更好了

看下是不是 --is-dba

人品不好 不是
6.png
写到这儿突然不想写了 心情很down 后面的过程就是慢慢的爆出表 列字段 dump出账号密码 表和字段太多了 加上网速不好 爆了很久才爆出来 爆出管理的密码却登录不进去
估计是不能前台登录 又找不到后台 没办法弄了几个会员试试 都能登录
7.png
8.png
登录进去了 是个客户主任的权限 无任何上传的地方 基本上就没有啥权限

看不出这站是干啥的

吃饭去了