2018Web攻防训练营POST基于时间和布尔的盲注1.HTTPPOST介绍2.POST基于时间的盲注3.POST基于布尔的盲注4.Sqlmap安全测试课程内容01HTTPPOST介绍POST发送数据给服务器处理,数据包含在HTTP信息正文中POST请求会向指定资源提交数据,请求服务器进行处理,如:表单数据提交、文件上传等,请求数据会被包含在请求体中。POST方法可能会创建新的资源或/和修改现有资源。使用POST方法时,查询字符串在POST信息中单独存在,和HTTP请求一起发送到服务器:POST/test/demoform.htmlHTTP/1.1Host:w3schools.comname1=value1&name2=value202POST基于时间的盲注在存在注入点POST提交的参数后加andif(length(database())>5,sleep(5),null)。如果执行的页面响应时间大于5秒,那么肯定就存在注入,并且对应的SQL语句执行。03POST基于布尔的盲注在存在注入点POST提交的参数后加入if判断正确或错误的语句。selectlength(databse());selectsubstr(databse(),1,1);selectascii(substr(database(),1,1));selectascii(substr(database(),1,1))>N;selectascii(substr(database(),1,1))=N;selectascii(substr(database(),1,1))
