最最简单的SQL手工注入教学,我奶奶都会

最新推荐文章于 2024-05-22 08:39:03 发布
最新推荐文章于 2024-05-22 08:39:03 发布
阅读量1.8k 收藏 20
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/124356147
版权

SQL注入 漏洞探测 admin表 账号密码 Web安全
关键词由CSDN通过智能技术生成

这期教学是给小白学习的,大佬看看就好。

我们先打开靶场:【靶场】

我们先进去发现是一个很简单的页端。

我们先判断是否有注入。

我们先在链接后面添加: and 1=1

来判断是否有注入。

发现返回正常。

我们再在链接末尾输入:and 1=2

这里我们发现与之前and 1=1时的界面不一样了这就说明有注入。

(这里解释一下and 1=1是什么意思

其实很简单就是你问一个服务器1是不是=1

所以我们and 1=1

返回正常

and1=2就是问1是不是=2所以我们报错了)

我们还可以输入:

order by 1

和:order by 2

来进行判断。

然后我们再在链接后面添加:

union select 1 from admin

union select 1,2 from admin

union select 1,2,3 from admin

注:admin这个表是我猜出来的你们可以用工具去扫,因为我猜到账号密码会在admin里面

以此类推

我们发现

在 union select 1,2 from admin的时候

这里多了个2

咱们就把2给排除掉

把2替换成:password

password是密码的意思

注:因为我们需要在2这个表里面查找。

账号和密码的表名这个我们也得在表里面猜出来

在链接末端输入:and 1=2 union select 1,password from admin

好的我们现在发现了密码

密码为:hello hack

我们下一步开始查找账号

我们把:password替换成:username

注:这俩个一般都是默认为密码和账号的意思翻译一下就知道是什么意思了。

好的我们账号也出来了。

账号为:admin

密码为:hello hack

这是最基础的手注教程博主也是小白就让我们一起来学习进步吧!

我是黑客
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
手动SQL注入(盲注)讲解
weixin_42061868的博客
01-20 1014
由于很多人(特别是针对初学者)在百度查找相关的SQL盲注的文章时总感觉无法得到一篇很基础,很完整的文章,所以在这里讲解一篇完整的SQL注入文章 1 查找源码之家等网站进行下载一个网站, 在这里我下载的ASP制作的网站 (1) 打开源码之家的官网:https://www.mycodes.net/ 如下图,都是可以下载的。 ###(2)随便下载一个网站后,解压文件并且复制到自己建立的目录下面,然后...
sql手工注入实战
mulincong的博客
05-30 2250
sql手工注入封神台靶场
Sql注入(手工注入思路、绕过、防御)
Naive的博客
09-26 2469
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
什么是SQL注入SQL注入详解(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
weixin_45840241的博客
05-22 5844
注意,在上面这个mapper文件中,只有一个select语句,而这个语句传参使用了符号$,它把参数值直接进行替换,而不进行预编译(如果使用占位符#,就进行预编译,从而可以防止SQL注入)。(2) 加 ’and 1=1 此时sql 语句为:select * from table where name=’admin’ and 1=1’ ,也无法进行注入,还需要通过注释符号将其绕过;这显然是不对的,接口把查询范围之外的数据都搜索出来了,如果还有一些修改数据或者操纵数据库的一些命令,那就更危险了。
sql手工注入
admin的博客
10-27 809
按照数据提交的方式来分类 友情链接:https://www.cnblogs.com/-chenxs/p/11614129.html、https://www.cnblogs.com/p0pl4r/p/10320631.html (1)GET 注入 提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。 (2)POST 注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。
sql手工注入思路
cike_y
08-31 858
由于手工注入时,经常忘记怎么敲,特意写关于sql注入的常用的注入查询,当作备忘笔记 2022/8/29
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
此资源包含:宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB...
sql注入手工注入示例详解
09-10
手工注入是指不依赖自动化工具,而是通过手动构造和尝试不同的SQL语句来探测和利用这种漏洞。本文将深入讲解如何进行手工SQL注入,以帮助读者理解和掌握这个过程。 首先,我们需要识别注入点,即用户输入能够影响到...
SQL手工注入完全篇
09-08
SQL手工注入网络安全领域中的一个重要话题,主要涉及的是利用数据库查询语句的漏洞来非法获取或篡改数据库信息。在本完全篇中,我们将深入探讨SQL注入的基本原理、常见手法、防范措施以及如何进行安全编码。 一、...
SQL手工注入教程最新版
09-18
SQL注入是一种常见的网络安全漏洞,它发生在Web应用程序中,当用户输入的数据未经充分验证或过滤就被直接用于构造数据库查询时。这种攻击方式允许攻击者通过在输入字段中插入恶意的SQL语句片段,来操纵数据库查询,...
手工注入常用SQL语句.txt
07-18
手工注入常用SQL语句
Sql注入详解(原理篇)
Naive的博客
09-11 9285
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
熊海CMS报错注入
qq_28624871的博客
04-02 2204
文章目录前言分析过程0x01.注入点源码分析0x02.报错注入的利用方法1.UpdateXml2.ExtractValue0x03.爆破表名的两种方法(Burpsuite和sqlmap)Burpsuitesqlmap(详见0x04)0x04.利用sqlmap来进行sql注入0x05.updatexml 函数0x06.extractvalue 函数踩的坑坑一:在练习页面留言报错---三种解决方法1.修改My.ini2.在navicat中修改3.修改PHP代码坑二:xedbug 调试不转跳到 submit.ph
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 1871
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
php代码审计之熊海cms
Zlirving_的博客
05-01 1235
  X00代码审计之旅 刚接触代码审计,所以找了个入门级别的php源码熊海cms进行审计。如果大佬发现有错误请告知哦~   熊海cms下载地址:http://js.down.chinaz.com/201503/xhcms_v1.0.rar 使用的是Seay审计工具,听说误报常用。但是作为新手,也可以培养自己检测误报的能力 开始实验吧~ (先自动审计一波) X01文件包含 举...
[代码审计]—熊海cms
Sentiment的博客
04-18 1364
环境搭建 phpstudy新建个站,放入代码 创建数据库 访问install 确认后变成空白页面,于是打开源文件查看后 发现是由于php版本过高,部分函数无法使用导致 修改php版本后访问install搭建成功 在访问files目录时报错 原因是在文件包含的路径错误,包含inc/301.php包含files目录下的inc/301.php,但inc和files属于同级目录,不在files中所以报错,在前边加上…/即可 后来发现该文件夹下的所有文件都有该问题,如果一个个加…/未免有些麻烦,所以
sql注入详解
m0_67392811的博客
06-12 5832
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
sql手工注入 union
09-17
SQL手工注入是一种攻击技术,通过修改SQL查询语句来绕过应用程序的安全措施,并获取未授权的数据。其中,union查询是一种常用的手工注入技巧之一。通过使用union关键字,可以将两个或多个查询的结果合并在一起返回。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值