經測試存在SQL注入,報錯信息為Warning:? mysql_fetch_array(): supplied argument is not a valid MySQL result resource inF:\A1bnH3a\ctf\8\index.phpon line35
用union試試
以前order by怎么都用不成功,原來是少了#注釋
接下來判斷數據庫名,把id條件置為假,這樣就只看到自己想要的信息了
已經有了模板了,接下來就是猜測其他數據了。hackbar為sql注入打好了自動化的基礎,只是我也不明白為啥字體這么透明
這時可得到表名
同樣的方法得出列名。。。。。數據等等
