SQL注入--记录一次靶场寻找漏洞思路

已于 2023-06-06 17:04:50 修改
阅读量494 收藏 1
点赞数 1
文章标签: web安全 sql 安全漏洞 数据库
于 2022-04-02 18:58:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreyZzz/article/details/123926894
版权
博客内容涉及了网络安全中常见的SQL注入攻击,作者通过BP抓包工具和SQLMAP进行漏洞扫描,发现存在注入点。进一步尝试查询数据库,揭示了用户名和密码信息。尽管未找到文件上传漏洞,但提到了利用SQLMAP的--os-shell功能进行更深入的系统控制。这篇内容突显了网络安全的重要性以及对SQL注入防御的必要性。
摘要由CSDN通过智能技术生成

先看看倒霉蛋靶机的登录页面,寻找可能存在的参数,注入点等

URL地址不存在id等参数

接下来测试登录框

BP抓包,用SQLMAP以POST发送扫一下注入点

存在注入点

查库查表查当前用户是否root,爆出用户名密码

GO

 寻找文件上传点挂马。

好的没有,使用SQLMAP  --os-shell

接下来的操作懂得都懂。。。。。

柯北Sec
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF之DC-8 靶机练习(SQL注入)
afei001
08-05 539
  练习环境     攻击机:kali     靶机:DC-8     下载地址:https://download.vulnhub.com/dc/DC-8.zip      1.发现靶机并进行端口扫描 root@afei:~# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.100.130 netmask 255.255.255.0 broadcast.
SQL注入漏洞靶场演示
2201_76045185的博客
07-08 246
(英语:SQL injection),也称或,是发生于应用程序与数据库层的。
sqli-labs-master-注入学习靶机
01-19
sqli-labs是一个非常好的学习sql注入的一个游戏教程,是一个印度程序猿的搬砖建造的,对于了解sqlmap的原理很有帮助。
Web安全 SQL注入靶场搭建(玩转整个注入环境.)
网络安全领域___专研者.
05-25 5803
SQLI-LABS靶场概括: SQL语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。而Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程.
SQL labs靶场-SQL注入入门
2302_80280669的博客
07-22 560
sql注入为入门级的漏洞,现如今已经极为少见,但仍有其典型性。从此开始,便正式进入了黑客的大门。
SQL注入靶机演示)
qq_50646540的博客
09-14 2147
如何安装sqlmap 先安装一个软件,叫sqlmap,用于自动化注入。 下载之后根据需求放进文件夹内,文件夹最好用英文,方便之后创建快捷方式。 将下载下来的sqlmap移动到Python的文件夹下,再在桌面创建快捷方式,将快捷方式的目标改为cmd,起始位置就是Python文件下的sqlmap。完成后可以先测试一下。 在快捷方式的界面中,输入sqlmap.py -h,有下图中的结果就是装好了。 安装好之后就可以开始使用了。 首先,去找一个有漏洞的网站试手,我这边是学校里的靶机。 先进行一个测试,在网址后面加
Sql注入(Mituan靶机环境)
weixin_45728648的博客
08-13 500
一、Miyuan环境网址 https://mituan.zone/#/login 注册: 登录: 配置环境 注:环境持续4小时若想长时间使用在还剩一小时时续时 点击Setup/reset Database for labs配置环境 如出现下图,即为成功 ...
SQL注入漏洞-03】报错注入靶场实战
cc
02-02 6350
在注入点的判断过程中,发现数据库SQL语句的报错信息,会显示在页面中,因此可以进行报错注入 报错注入的原理:就是在错误信息中执行SQL语句。触发报错的方式很多,具体细节也不尽相同。报错注入有可能成功,也有可能不成功!可以多刷新几次
sql-lap注入靶场
05-02
这个"sql-lap注入靶场"是专门为学习和实践SQL注入漏洞而设计的一个平台。在这个靶场中,你可以模拟黑客攻击,体验如何利用SQL注入来破解系统,同时也能够提升你的安全防护意识和技能。 SQL注入攻击的基本原理是,...
测试具有44个漏洞点的简单小靶场-SQL注入
虚闻界的博客
08-11 1264
关于常见SQL注入的经验及小技巧,以及自己的一些学习经历
sqli-sql注入著名靶场
03-28
靶场通常包含一系列设计好的易受攻击的Web应用,这些应用模仿了实际环境中可能遇到的SQL注入漏洞。配合PHPStudy,一个流行的PHP开发和测试环境,你可以搭建这些靶场,亲自尝试注入攻击,理解它们是如何被触发的,...
SQLI Hunter v1.2:用于扫描 Sql 注入漏洞的自动化工具。-开源
05-30
SQLI Hunter 是一种自动化工具,用于扫描网站中的 Sql 注入漏洞。 它使用 google dorks 自动从 Google 搜索 sqli 易受攻击的链接! SQLI Hunter 还可以通过使用一些预定义的管理页面列表来查找任何网站的管理页面。 快速和容易使用 ! ================ 由 MAK 编码 ================
信安必备靶场-sqli-labs-master-用于练习sql注入各种注入类型
最新发布
08-12
这个靶场通常用于安全培训、渗透测试和学习Web应用程序安全方面的人员,它提供了一系列的模拟环境和挑战,目的是让用户通过实际操作来理解和掌握SQL注入漏洞的利用技术。 在这个靶场上,用户可以创建账号并登录,...
mysql注入-sqlilabs靶场注入
10-15
SQL注入攻击者可以利用这个漏洞执行恶意的SQL命令,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。本教程基于SQLiLabs靶场,将深入探讨MySQL注入的各种技术和防御策略。 SQLiLabs是专门为学习和...
靶机网站实现简单SQL注入
真正的大师,永远都怀着一颗学徒的心。
07-15 2026
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、sql注入是什么?二、注入过程1.明确SQL注入总体思路(1)寻找注入点(2)判断后台数据库类型和服务器的类型(3)针对不同的数据库和服务器类型构建语句进行注入2.进行站点分析(1)判断注入-最经典的and 1=1(2)判断该表当前页面字段数(3)确定当前页面回显(4)在第三个字段处构建语句,获取库名,字段名,表名。(5)到此为止,我们已经可以通过表名和字段名查询到管理员的账号密码了(6)进入后台看是否能够成功登陆。总结
Kali linux在DVWA靶场SQL注入
qq_74298120的博客
06-20 1870
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
Sqli-labs 靶机注入训练(1-5)
qq_41819426的博客
12-03 4221
Sqli-labs靶机注入训练1、sqli-labs 环境搭建什么是sqli-labs?环境搭建1.下载sqli-labs2.phpstudy(PHP+mysql环境搭建)①首先先下载一个PHPstudy②把你的sql-labs.zip解压到这个PHPstudy的根目录底下3、修改 db-creds.inc 里代码④访问http://sqli/(访问域名,你放在哪个文件夹就叫什么) 来进入sqli-labs的首页常见问题:2.less -13.less -24.less -35.less -46.less
一次简单的SQL注入靶场练习
lza20001103的博客
07-24 4132
一次简单的SQL注入靶场练习
PHP与Apache环境下部署SQL注入靶场sqli-labs指南
sqli-labs是一个开源的工具,专为PHP开发者设计,用于模拟和测试SQL注入漏洞,帮助提高安全意识和技能。 首先,确保你的开发环境已安装PHP和Apache。如果你使用的是Windows系统,推荐参考《01-Windows安装phpstudy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值