攻防世界 web進階練習 NewsCenter
題目是NewsCenter,沒有提示信息。
打開題目,有一處搜索框,搜索新聞。考慮xss或sql注入,隨便輸入一個abc,沒有任何搜索結果,頁面也沒有什么變化,考慮SQL注入。
隨便輸入234234234,用burp抓包,發現是post方式,直接用sqlmap爆破。
將http頭保存為1.txt,試試用sqlmap爆數據庫
查看news數據庫內容sqlmap -r 1.txt -D news --dump
得到flag!
攻防世界 web進階練習 NewsCenter
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。