pikachu漏洞平台数字型注入(post)

1、打开pikachu网站选择SQL-inject中数字型注入(post)。

2、同时我们通过firefox浏览扩展添加HackBar插件。

3、使用F12调出Hackbar插件，将url复制在hackbar中勾选post data点击LoadURL。

4、在id=2后面添加'号进行测试，发现数据库提示错误语句。''挢旗扦渌;'我们猜测后台sql语句为select * from table where id =input。

5、进一步使用id=2 and 1=1，id=2 and 1=2进一步确定注入点。

6、使用万能语句进行爆表尝试id=2 or 1=1 --，成功获取所有的信息。