這個 Lab 應該會提供一個運行中的目標網址吧,建議你多提供一些資料給版友參考,不然真的像是通靈(?)
回到正題,在嘗試注入之前,我們可以先使用掃描工具查看目標的細節資訊 (作業系統、開了哪些 Port 、資料庫類型等等),再看看這些資訊有沒有可注入的點。
常見的掃描工具: Nmap 、 Showdan 。
再來,知道了弱點後(以這個 Lab 來說,我們需要知道 SQL 的種類),看看有沒有可行的 Bypass 方法, WEB CTF CheatSheet 這個 Repo 有提供不少好方法。
是說如果都能使用 Kali Linux 這個惡意集合工具箱,利用 sqlmap 打目標網站應該也不算過分(?)
最後,再丟幾個文章跟資源給你參考:
學習注入攻擊最快的方法就是參考實際案例 && 參加比賽 && 嘗試實戰, Hitcon Zeroday 對我來說不止是漏洞回報平台,更是取經的好地方 XD
iThome鐵人賽
看影片追技術