使用google挖掘SQL注入漏洞

1.使用Google语法进行搜索: inurl:php?id=,记得在inurl前面加公司不然出现的是英文。

1. 我们随便点击一个网站

3.我们可以看到新闻中心(一般情况下SQL注入存在新闻中心)，我们点击进去进行尝试是否存在SQL注入,我们输入id=98’看到报错了，我们猜测是数字型注入

4.我们输入and 1=1没有报错，1=2报错了，所以存在SQL注入

1. 我们判断有多少列，我们使用二分法，10报错了

5没有报错，9报错了，8没有报错，所以列一个有8列

6.我们判断显注点，可以知道是2和7

7.我们进行爆破数据库

8.我们进行爆破表名 可以看到有user这个表名

9.我们进行爆破user这个表名里面的字段名，我们看到有用户名和密码

10.我们进行爆破数据(用户名和密码)