SQL注入-脱库_mysql注入拖库

于 2024-05-13 03:42:09 发布
阅读量832 收藏 20
点赞数 5
分类专栏: 程序员 文章标签: sql mysql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84970035/article/details/138778035
版权

确认网站存在SQL注入时,可以对其进行脱库,即获取数据库表中的内容,比如用户的敏感信息

注意 : MySQL5.0以后 才有information_schema这个默认数据库

一库三表六字段

MySQL数据库中有一个默认数据库 information_schema

这个数据库中有三张特殊的表

  • schemata表 , 存储了所有数据库的名字
  • tables表 , 存储了所有表的名字
  • columns表 , 存储了所有字段的名字

这三张特殊的表中有六个敏感字段

  • schemata表的 schema_name字段 , 存储数据库名
  • tables表的 table_name字段 , 存储表名
  • tables表的 table_schema字段 , 存储表所在的数据库
  • columns表的 column_name字段 , 存储字段名
  • columns表的 table_name字段 , 存储字段所在的表
  • columns表的 table_schema字段 , 存储字段所在的数据库
脱库的步骤

具体的SQL需要根据注入类型进行动态变化

查询 information_schema数据库的 schemata表 的 schema_name字段 , 获取所有数据库

select schema_name 
from information_schema.schemata;

查询 information_schema数据库的 tables表的 table_name字段 , 获取所有表(指定数据库)

select table_name 
from information_schema.tables
where table_schema='security' limit 1,1

查询 information_schema数据库的 columns表的 column_name字段 , 获取所有字段(指定表)

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

s/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84970035
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入攻击实例mysql_SQL 注入攻击案例
weixin_35569211的博客
01-19 2466
一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结一、检测注入点首先,在http://120.203.13.75:6815/?id=1目标站点页面发现了?id,说明可以通过查询id=1的内容来获得页面。这相当于查询语句:select * from [表名] where id = '1';二、判断是否存在 SQL 注入可能...
Windows日志外发配置
05-18
用evntlog配置Windows日志外发
Suse/Windows发送syslog配置
dianyuan7817的博客
05-08 1657
Syslog被广泛应用于系统日志中。基于此种场景,网络中的各种设备可以将系统日志以syslog的格式发送给日志服务器,记录和存储日志。Suse和Windows是2类使用syslog记录系统日志的典型系统,下面是配置它们发送syslog的方法。 1. 配置Windows发送syslog Windows系统自带默认服务中并无发送syslog的配置功能。所以,需要借助工具来实现Window...
AAA-------网安的一种管理机制--认证授权计费
最新发布
2401_84970893的博客
05-12 400
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
将Windows的系统日志自动收集并且转发到syslog服务器,百试百灵
m0_46583157的博客
02-20 2636
# 将windows的系统日志自动收集并且转发到syslog服务器,百试百灵*
nessus 网络安全扫描工具2024/3/31 免费化专业版的方法
csh7355608的博客
03-31 454
今天我來教你們如何破解 nessues!
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
sql_node-master.zip_MYSQL_node笔记_sql
09-25
为了防止SQL注入,应使用预编译语句和参数绑定。例如: ```javascript const [rows, fields] = await connection.execute( 'SELECT * FROM users WHERE id = ? AND active = ?', [userId, true] ); ``` 7. *...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以防止SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
JDBC.zip_MYSQL_java mysql 库_jdbc
09-14
`Statement`适用于静态SQL,而`PreparedStatement`适用于动态SQL,可以防止SQL注入。 - 对于`SELECT`查询,可以使用`ResultSet`对象来获取结果: ```java Statement stmt = conn.createStatement(); ResultSet ...
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 ... //是 values($s) 不是values(‘$s’)mysql_query($sql);上面这个片段程序是判
渗透测试技术_Nessus工具(一)Linux centos7下 Nessus8.13的下载、安装
fen_fen的专栏
03-18 3124
Linux centos7下漏洞扫描工具 Nessus的下载、安装 Nessus简介 对于漏洞检测最常用的工具便是 Nessus,它是全球使用人数最多的系统漏洞扫描与分析软件,这是一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序,功能十分强大,是安全漏洞自动收集工具,同时会提供一个非常漂亮的 web 页面来展示当前目标系统所存在的漏洞。 提供以下功能: * 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。* 不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行
java字节码插桩详解以及一个简单的示例
a807719447的专栏
06-07 1491
visitMethodInsn(int opcode, String owner, String name, String desc, boolean itf):访问方法调用指令,opcode表示指令的操作码,owner表示方法所属的类名,name表示方法名,desc表示方法描述符,itf表示方法是否为接口方法。它是一个抽象类,需要继承并实现其中的方法来实现对方法字节码的访问和修改。方法中,我们可以指定要添加的方法操作码类型、方法所属的类、方法的名称、方法的描述符和是否为接口方法,从而修改方法的字节码。
windows日志转发
热门推荐
leeezp的博客
06-17 41万+
配置windows日志事件转发详细教程
Windows Server2019安全基线等保参考要求
weixin_52364868的博客
04-27 1422
Windows Server的基线安全(等保要求) 检查项类别 名称 方式 检查项预期 是否达标 加固建议 文档 IP协议 防火墙TCP/IP筛选配置 手动 业务所需的TCP,UDP端口和IP协议是否开放 0 开放业务所需的TCP,UDP端口和I
Nessus漏扫神器之攻防两用
leah126的博客
02-08 2182
在我们开发一个网站的过程中,为了防止被入侵,不仅仅在网站层面加强防护,还需要综合设计网络体系,配合所使用的安全防护设备进行防护,但如何检测这些防护设备以及网站的安全性呢?③返回页面让其加载插件,加载插件过程需要一点时间,大约在30-50分钟左右(电脑配置高的会稍微快一点),耐心等待一下,期间禁止刷新页面,防止导致加载过程发生错误。(8)紧接着等待安装完成,大概5分钟左右,服务器配置低的可能需要久一点,安装完成之后是没有扫描模块的,所以需要免费的激活码激活或者企业版的插件更新激活。
OpenVPN部署
glisten0317的博客
05-10 4804
安装epel仓库安装easy-RSA安装openvpn服务端如果在线无法安装,可以通过离线文件进行安装。
kiwi syslog日志服务器怎么在Windows下搭建,这篇文章好好捋捋,附相关软件下载!
网络技术联盟站
08-11 6493
kiwi syslog软件收集的SNMP数据默认的保存方式是:以日期时间为序,在一个文件中保存所有设备的日志,每小时生成一个文件。这样的保存方式是很不利于查询各设备的log信息的,所以在比较新的版本中增加了以设备IP地址分开保存的方式,但软件上的设置选项并未明确提示,所以一般很容易忽略掉。4、(这里的意思好像是 安装网页的日志获取服务,具体看不懂,不安装不影响正常使用。13、然后打开刚才的“Keygen注册机”文件夹的“keygen.exe”1、防火墙的话每个品牌的设置方法都不一样,我这里是网神的防火墙。
SQL注入攻防手册:MySQL与MSSQL函数与技巧
"这篇文档是关于手工SQL注入的常用语句和技巧的笔记,主要针对MySQL,也涉及了一些MSSQL的相关知识。" 在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序对用户输入数据的不当处理,使得恶意用户能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值