第一次小小的心得

第一步：

 正常输入后面添加 ' 单引号  页面变化，怀疑有SQL注入点

输入' or 1=1 --  验证猜想

猜想正确，存在注入点

第二步：

联合查询 猜解字段

发现有7个字段

 输入函数database()  version()  查询所在数据库，以及数据库版本

第三步：

利用Mysql联合查询得到bWAPP数据库中的表

猜测账户密码信息在users中，利用联合查询得到users表中字段

 怀疑账号名称在login中，密码在password中

利用联合查询得到

 

猜测正确

得到账号 A.I.M   bee

密码怀疑是MD5加密

利用在线工具解密得到密码明文 bug