1原理
**
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
在网上经过查找资料发现insert注入几乎写的不全,自己复制后发现注入语句错误,使得自己还要更改,现在更新一篇insert注入的过程
insert注入及
1:insert 进入注册界面后,同样加单引号,看是否存在此漏洞。
第一步
1.打开burpsuite抓一下注册的包
第二步
在username里面输入一个' ,发现报错,可能存在注入
第三步就是开始我们的注入 了
这里我用的是updatexml和extractvalue两个参数
首先要爆数据库名还有版本号
' or updatexml(1,concat(0x7e,(select <