第一次挖到sql注入漏洞

刚学到文件上传文件的小白，充满激情的想要去挖漏洞，我就到各学习社区去看别人第一次如何挖漏洞的。第一次我就去尝试挖了某天的公益的SRC，一套信息收集下来，除了官网没有多少可以继续渗透的，很多子网站都是私密访问链接，没办法就放弃了。
今天在在谷歌搜索偶然碰到了一个存在sql注入的网站。
下面就来说说我的注入过程：
1.输入and 1=1 页面页面正常，and 1=2页面有部分不显示，说明存在注入漏洞。

 

 2.输入order by 判断出页面自字段数为2

、
3.输出 and 1=2 union select 1,2 页面跳出‘警告 非法访问！’的警告，我就试了一下，发现是select引起的（非waf，应该是后端进行进行了检测）。

 

 

 4.于是我尝试了一下盲注意外成功了，剩下的事就交给了burp或者sqlmap

作为小白，我们真的要积极多看技术文章来提高自己的技术水平，此次漏洞挖掘也是我再浏览一下文章后才进行的，希望今后能不断多方面学习来拔高自己。