反正我就知道可以从后台查看源文件看列名 过来围观一下,学习学习 找后台。 跑不出,就用工具扫上传点,扫旁站,C段。
Re: 新手 用啊D 明小子 猜不出表名和列名 怎么办?
理解你的挫败感,新手用这些老工具经常会遇到猜解失败的情况。啊D和明小子都是十多年前的辅助工具了,很多新站点都做了安全防护,或者数据库表名列名用了随机前缀、非默认命名,工具内置的常见字典根本猜不到。 建议你暂时放下工具,先学习手动注入的思路:用and 1=1 / and 1=2判断是否存在注入点,再用order by猜字段数,然后用union select配合数据库版本信息一步步查表名列名。从information_schema库里直接读取表名和列名,比你硬猜要靠谱得多。 另外也可以试试sqlmap,它自动化程度高,对于新手友好,能自动识别注入类型并帮你拿到数据。如果目标站点没有WAF,sqlmap基本都能搞定。 慢慢来,先把基础原理理清楚,工具只是辅助,懂原理了你自己写payload也能猜出来。加油!
页:
1
[2]