靶场
用 burpsuite 进行抓包 (最好是用专业版 可以设置多线程快速爆破)
右键该页面 Send to Intruder
首先将 Attack type 改为 Cluster bomb 接着 Clear 清除全部变量
然后 Add 变量到 username 和 password 的地方
设置 payload
payload 1 选择 Runtime file 也就是自己选择的字典 我这个是 kali 自带的 SQL.txt
payload 2 选择 Simple list 然后在 Add from list 中选择 Fuzzing - SQL Injection
接着开始 Start attack
由于在网站上我们输错 账号密码 会有一个 xss 弹窗的内容是 Try again
所以我们在这里过滤掉该信息 并标记为 错误搜索
接着我们 Attack 完毕后点击 Length 根据 Length 的大小来判断是否成功爆破
这些都是成功登录的 SQL 注入语句
然后我们将 username 和 password 复制粘贴去网站进行登录即可