Sqli-labs-Less-20

通過測試發現，在登錄界面沒有注入點，通過已知賬號密碼admin，admin進行登錄發現：

登錄后會有記錄? Cookie 值

設想如果在Cookie嘗試加上注入語句（報錯注入），測試是否會執行并返回報錯語句爆出想要的信息。

#自動化注入-SQLmap工具注入

?SQLmap用戶手冊：文檔介紹 - sqlmap 用戶手冊

?由于這題是post請求，所以先使用burp進行抓包，然后將數據包存入txt文件中打包? 用-r 選擇目標txt文件

在Cookie 處加上*代表注入點

python sqlmap.py -r data.txt  --current-db --batch

爆出當前的數據庫名

成功管理用漏洞！！！