【漏洞挖掘】——95、MySQL注入基础

已于 2024-06-26 13:29:22 修改
阅读量38 收藏
点赞数
分类专栏: 【WEB渗透】 文章标签: mysql 数据库 渗透测试 信息安全 网络安全 web渗透
于 2024-06-20 13:27:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/139829952
版权
【WEB渗透】 专栏收录该内容
151 篇文章 12 订阅 ¥29.90 ¥99.00
订阅专栏
文章前言

在正式进入MySQL注入的专题之前我们需要对MySQL注入中一些基础知识以及常用的一些函数、技巧等进行简单的介绍与整理归纳,以便于我们后期进行知识检索

常用变量

在MySQL注入过程中我们经常会涉及到一些注入点是否存在的判断以及对数据库路径、主机名等的数据进行查询,此时我们可以借助MySQL自身的变量来检索:

@@datadir:数据库数据目录

@@hostname:数据库主机名

@@version_compile_os:操作系统版本

库表结构

MySQL数据库的库表结构主要涉及如下几个关键词,也是我们平时注入时经常会用到的:

  • SCHEMA_NAME:数据库名
  • information_schema:系统数据库,包含了所有的数据库名(自MySQL 5.0版本中引入,成为MySQL系统数据库的一部分)
  • information_schema.SCHEMATA:数据库库数据
  • TABLE_NAME:表名
  • information_schema.TABLES:数据库表数据
  • COLUMN_NAME:列名
  • information_schema.COLUMNS:数据库列数据
常用函数
字符串截取函数
left(str,index)  			//从左边第index开始截取
right(str,index) 			//从右边第index开始截取
substring(str,index) 		//从左边index开始截取
substr(str,index,len) 		//截取str,inde
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
MySQL数据库架构&SQL注入漏洞
weixin_63294541的博客
03-03 101
MySQL数据库架构&SQL注入漏洞
MySQL数据库结构&手工注入
qq_45434762的博客
06-14 265
MySQL数据库结构MySQL数据库SQL层功能:1.判断语法、语句、语义2.数据库对象授权情况判断,授权失败不继续3.解析(解析器):将SQL语句解析成执行计划,运行执行计划,生成找数...
mysql结构(ctfhub-sql注入
qq_26245471的博客
01-08 457
ctfhub sql注入mysql结构
MySQL注入详解
weixin_48450741的博客
08-03 2559
MySQL注入知识点信息收集同数据库判断注入报错猜解准备查询信息查询指定数据库名下的表名信息查询指定表名下的列名信息查询指定数据跨数据库获取所有数据库名获取指定数据库名下的表名信息获取指定表名下的列名信息获取数据 知识点 MySQL 5 以上存在一个自带的数据库information_schema,记录所有的数据库名,表名,列名 information_schema.tables:记录所有表名信息的表 information_schema.columns:记录所有列名信息的表 table_name:表名 c
Mysql 基本注入
大方子
06-03 1379
================================ 判断是否存在注入:    and 1=1 and 1=2 查看是否为mysql数据库: /*asd            ---因为只有mysql支持/* 注释查看mysql版本: and ord(mid(version(),1,1))>51 /*              --- 51的ASCII码代表3,即版本3具体确...
WEB漏洞挖掘——思路指南
lmf_goste的博客
12-30 8450
本篇主要记录了WEB漏洞挖掘过程中的信息收集部分,web渗透最重要的便是信息收集,希望以下内容能够给予在漏洞挖掘中迷茫的小伙伴一些帮助。 目录 信息收集 子域名 注意是否存在WAF 工具类 边缘资产 ICP备案查询 敏感信息收集 信息收集 信息收集的目的是为了更多的收集目标资产,扩大我们的渗透范围。WEB漏洞更多的存在于一些边缘资产和隐蔽的资产中。 子域名 在其他信息收集的过程中也可以先将域名放到文本中,最后进行去重 注意是否存在WAF 若检测存在WAF,扫描时需要降..
mysql5 注入漏洞
10-30
MySQL5注入漏洞是一种常见的安全问题,它发生在应用程序与数据库交互时,由于不恰当的数据过滤或错误的查询构造,使得攻击者能够向SQL语句中插入恶意代码,从而获取、修改、删除数据库中的敏感信息,甚至控制整个...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
PHP+MYSQL 注入靶场
最新发布
04-26
**PHP+MYSQL 注入靶场*...通过这个靶场,你不仅可以提升SQL注入漏洞的检测和修复技能,还能了解到PHP和MySQL在Web应用安全中的重要性。记住,安全是Web开发的关键组成部分,理解和防范SQL注入是每个Web开发者的基本功。
hi 感恩节——Linux基础教程之mysql和php
09-10
主要介绍了hi 感恩节——Linux基础教程之mysql和php的相关资料,需要的朋友可以参考下
SQL注入漏洞挖掘.pptx
10-27
SQL 注入漏洞挖掘 SQL 注入漏洞挖掘是指攻击者通过构造特殊的输入,来 trick 数据库执行恶意的 SQL 语句,从而获取敏感信息或控制数据库的权限。 SQL 注入漏洞是 Web 应用程序中最常见的安全漏洞之一,攻击者可以...
【信息收集】——3、信息收集指南
热门推荐
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
【信息收集】——10、Zoomeye搜索语法
Fly_鹏程万里
02-28 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。 ZoomEye 拥有两大探测引擎:Xmap 和 Wmap,...
【信息收集】——8、FOFA搜索语法录
Fly_鹏程万里
04-12 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 Kali Linux是一个集成了许许多多的渗透测试工具的一款系统,也可以说是专门问渗透测试人员量身打造的一般,本小节就为大家来介绍一下kali当中有哪些用于信息收集...
漏洞挖掘】——25、XXE靶机实践测试
Fly_鹏程万里
03-08 8534
Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞,我们希望你喜欢这个挑战!
漏洞挖掘】——27、XSS漏洞攻防案例
Fly_鹏程万里
03-10 8405
本实验在搜索功能中包含一个简单的跨站点脚本漏洞,为了解决这个实验,您必须执行一个调用alert函数的跨站点脚本攻击本实验在搜索博客功能中包含一个反射型的跨站点脚本漏洞,其中尖括号是HTML编码的,为了解决这个实验,你需要执行一个跨站点脚本攻击,注入一个属性并调用alert函数本实验包含一个反射性跨站点脚本漏洞,该漏洞存在于编码了尖括号的搜索查询跟踪功能中,反射发生在JavaScript字符串内部,为了解决这个实验,你需要执行一个跨站点脚本攻击,它突破JavaScript字符串并调用alert函数。
WEB漏洞挖掘:SQL注入与绕过策略解析
然而,很多开发者并未充分意识到这一点,导致了大量SQL注入漏洞的出现。 过滤(白名单)是另一种防御策略,通过仅允许特定的字符或字符串输入,阻止任何可能破坏SQL语句的非法字符。然而,攻击者可能会使用编码技巧...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值