经测试存在SQL注入,报错信息为Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource inF:\A1bnH3a\ctf\8\index.phpon line35
用union试试
以前order by怎么都用不成功,原来是少了#注释
接下来判断数据库名,把id条件置为假,这样就只看到自己想要的信息了
已经有了模板了,接下来就是猜测其他数据了。hackbar为sql注入打好了自动化的基础,只是我也不明白为啥字体这么透明
这时可得到表名
同样的方法得出列名。。。。。数据等等
