Hello there,

 

SQL Injection - Stored(User-Agent)を選択して。

『User Agent』が登録されたようで。

 

 

Burp Suiteでパラメータを確認して。

 

 

細工するためにGETメソッドを変更して。

これまでにデータベースの構造は把握しているので。

IDとログイン名とパスワードが表示されるようにSQL文を挿入し。

それ以降の処理を無効にするために『#』でコメントアウトして。

　POST

　Neo',(select concat(id,login,password) from users limit 0,1)) #

 

 

『IP Address』の列にIDとログイン名とパスワードが表示された。

 

 Best regards,