一、爆破数据库名长度
1、打开Burpsuite,打开自带的浏览器,启动拦截
2、访问,包被拦截
3、右击数据包,发送到测试器
4、将测试的数据标记一下
5、设置payload,数值,从1开始增加到15,点击开始攻击
6、查看结果,经过返回的长度对比,只有8的长度和其他不一样,经过测试8就是数据库名的长度
二、爆破数据库名称
1、访问
2、抓包,发送到测试器,并将字符的位置1,和对应ASCII码115设置为测试的数字,攻击类型设置为集束炸弹
3、设置payload,知道数据库名的位数是吧,所以第一个设置1-8,a-z的ASCII码是97-122,点击开始攻击
4、最后发现只有8个长度不一样,正好对应数据库的名称