打开题目如下
典型的爆破,提示他是cl4y,则猜测用户名为cl4y,开始爆破
攻击类型:
单字典(无论几个变量都是一个字典)
1.狙击手(Sniper):如果选择多个变量,所选字典会先爆破一个变量,再爆破第二个变量(一个一个来),适用于知道账户或密码的情况。
2.破城槌(Battering ram):无论选择过几个变量,此字典都会同时爆破(多个一起上,且变量值都一样),适用于账户密码相同的情况。
多字典(几个变量就用几个字典)
1.音叉(Pitchfork):变量1与变量2一一对应进行,若两个字典行数不同,小字典测完即结束,适用于知道多个账号和与之匹配的密码。
2.集束炸弹(Cluster bomb):一对多出,即变量1的每个变量都要和变量2匹配一遍,适用于账号密码都不知道的情况。
此处应选Sniper,并添加字典。
开始爆破
结果不是723就是737,有两个不同的即736和726,尝试该结果
723
737
736
F12后什么也没有
726
最后得出结果:你爆破你码呢???????????????????这是SQL,果断关闭Bp。
随便输入账户密码 并在账号前加 ‘ 如图
进入后
谷歌翻译
尝试万能密码 admin' or '1'='1
结果
不慌,用第二种,不去判断密码的正确性。admin' or 1=1 %23
成功
