拿到url进入靶场
登录页面
首先肯定从最低级开始在登陆页面进行注入,然后发现登录页面没有注入点。发现登录按钮下面有通知一栏,意味着可能存在注入点,拿到url:http://219.153.49.228:41247/new_list.php?id=1
判断存在注入点,上sqlmap**,终于拿到数据库列表
查表
发现有三个字段名,直接查用户名和密码
出来md5值,百度在线转化一下 ,就可以了
得到两个密码,第一个居然还报错了,给刷分的人带来不少麻烦
第二个密码登录成功,直接拿到key
相关文章: