0
点赞
收藏
分享

微信扫一扫

BurpSuite 爆破 SQL 注入

Silence潇湘夜雨 2022-03-11 阅读 74
sqlweb安全

靶场

用 burpsuite 进行抓包 (最好是用专业版 可以设置多线程快速爆破)

右键该页面 Send to Intruder

首先将 Attack type 改为 Cluster bomb 接着 Clear 清除全部变量

然后 Add 变量到 username 和 password 的地方

设置 payload

payload 1 选择 Runtime file 也就是自己选择的字典 我这个是 kali 自带的 SQL.txt

payload 2 选择 Simple list 然后在 Add from list 中选择 Fuzzing - SQL Injection

接着开始 Start attack

由于在网站上我们输错 账号密码 会有一个 xss 弹窗的内容是 Try again

所以我们在这里过滤掉该信息 并标记为 错误搜索

接着我们 Attack 完毕后点击 Length 根据 Length 的大小来判断是否成功爆破

这些都是成功登录的 SQL 注入语句

然后我们将 username 和 password 复制粘贴去网站进行登录即可

 

举报

相关推荐

0 条评论