我正在做一些webpentesting練習,並且有一個任務說我需要使用SQL注入使用此名稱和此密碼創建一個新帳戶。在網頁上有一個文本輸入用戶名和另一個文本輸入'密碼'。我可以在用戶名文本輸入內輸入任何我想要的字符,但在密碼文本輸入內需要輸入特定的注入。如何使用SQL注入接收SQL語法錯誤?
我知道我需要注入插入查詢,但事情是我不知道表名。爲了插入一個新用戶,我需要知道表名,所以我想知道如何讓Web顯示我顯示的表名錯誤。
錯誤的表現應該是這樣的:在語句命令 意外結束[SELECT * FROM(表名),其中...]
我想只有一個字符輸入(也許> 1個字符爲必填項)在密碼區域內部使錯誤顯示甚至刪除參數文本輸入密碼。但它不會顯示SQL語法錯誤。
所以問題是:我怎樣才能利用利用漏洞使網頁查看SQL語法錯誤顯示錶名稱?
爲什麼不注入用戶名字段,但它在密碼字段?