【2·未知攻焉知防】 如何利用SQL注入,结合图片马渗透入侵服务器

最新推荐文章于 2024-04-30 04:08:20 发布
最新推荐文章于 2024-04-30 04:08:20 发布
阅读量2.8k 收藏 2
点赞数 1
分类专栏: 一点一滴 文章标签: 安全 服务器安全 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hujkay/article/details/46392371
版权
 1. 概述

  此文原出自【爱运维社区】:  http://www.easysb.cn

  SQL注入漏洞是由于对字符串的过滤不严格导致的,根据数据外带方式不同,可分为时间盲注,bool盲注,错误等等很多种。如果当前站点的数据用户是root的话,那么就会导致服务器上的所有数据库泄露,假如不是root用户话,那么泄露的数据库仅仅为当前用户有权限的数据库。但是,即便这样能够访问当前的站点数据库信息,也足于获取到管理员的账号和密码,然后通过管理后台进一步提权,进而沦陷整台服务器。

2. 渗透入侵

  本文以个真是的站点为例,简要介绍一下,如何进行利用SQL注入渗透,了解整个攻击的过程,以便大家能够直观地看到SQL的危害。

2.1 寻找SQL注入点
   我们以站点 xxx.abc.net 为例,以下为该站点的截图
1.png


我们通过扫描器发现该站点存在一个SQL注入【至于如何发现注入点,每个人的方式有不同的】,其接口如下:

2.png

最低0.47元/天 解锁文章
天天睡懒觉的墨鱼
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
主流数据库sql注入击原理与实践(图)
05-14
主流数据库sql注入击原理与实践(图).
一张图片也能SQL注入
蚁景网安学院
02-09 3972
点击"蓝字"关注,获取更多技术内容前言最近在复盘SQL注入,看到有一个trick挺有意思的,这个trick主要利用后端程序会将文件exif信息插入数据库进行SQL注入因此本篇文章会从题目解...
黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)
最新发布
2401_84253037的博客
04-30 740
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。在使用盲注的时候,需要使用到substr(),mid(),limit。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
sql 注入总结图
m0_37847492的博客
08-15 259
标题 
SQL注入详解
读书 买花 长大
11-12 4204
SQL-sql
图片制作和利用
晚风不及你
09-03 1938
C#SQL注入代码的三种方法
09-04
- **使用火墙和入侵检测系统**:在服务器级别阻止已知的SQL注入击。 总之,SQL注入是多层面的工作,需要结合代码实践、配置管理和系统护等多个方面共同实现。通过上述C#方法,开发者可以有效地降低SQL...
SQL注入击与御-第2版
10-11
主要内容: ·发现、确认和自动发现SQL注入漏洞 ·通过SQL注入利用漏洞 ·在代码中发现SQL注入的方法和技巧 ·利用操作系统的漏洞 ·在代码层和平台层SQL注入击 ·确定是否已经遭到SQL注入
Win2003服务器SQL注入神器--D盾_IIS火墙
09-30
D盾_IIS火墙是专为IIS设计的一个主动御的保护软件,以内外保护的方式 止网站和服务器入侵,在正常运行各类网站的情 况下,越少的功能,服务器安全的理念而设计! 限制了常见的入侵方法,让服务器安全!
基于通用规则的SQL注入击检测与御系统的研究
01-27
面对Web网站存在的种种安全漏洞问题,文章通过对大量SQL注入击报文的击特征进行总结分析,结合SQL注入击的击特征和击原理,提出了一种基于通用规则的SQL注入击检测与御的方法,并利用SQL注入检测工具...
渗透入侵\超级SQL注入工具 SSQLInjection V1.0.zip
07-15
"超级SQL注入工具 SSQLInjection V1.0"是一个专为此目的设计的工具,它帮助安全研究人员或黑客检测和利用SQL注入漏洞。 首先,我们来理解SQL注入的基本原理。在Web应用程序中,用户输入的数据通常会被拼接到SQL查询...
SQL入侵教程
05-12
SQL入侵,注入教程SQL安全,优化SQL
【WEB图片利用
热门推荐
weixin_45983744的博客
02-15 1万+
交流Q群:876554035 一,图片原理 图片以文件上传漏洞为基本条件,将可执行的脚本写入到图片中去,再利用文件包含漏洞来执行图片中的一句话木,从而获取目标服务器权限。 二.工具及环境 DVWA靶场环境 010Editor 中国菜刀 三.具体步骤 1.登陆DVWA靶场,调整安全级别为high,进入到File Upload页面。 图一 登陆界面 图二 选择安全级别,进入 2.利用01...
图片上传不了&还的加上SQL注入
Me_zhen的专栏
07-07 1069
<br />'首先,自己把SQL注入写成个类。<br /> <br />function Sqlfang(SQL_iaa)   <br /> SQL_ia ="'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"     <br />     SQL_ij = split(SQL_ia,"|")             '分割数组 把单个值给SQL_ij<br />     If 
图片利用的三种方式
weixin_48435065的博客
09-30 2960
user.ini实际上就是一个可以由用户“自定义”的php.ini,我们可以自定义除了PHP_INI_SYSTEM以外的模式,在执行php代码之前,系统会对.user.ini先做一个执行,然后才执行其他的php文件。满足.user.ini、1.jpg和1.php(任意php文件)这三个文件在同一目录下,则相当于在1.php文件里插入了包含语句require('1.png'),进行了文件包含。首先上传图片利用文件包含上传的图片,使得php文件执行,然后使用菜刀连接。// 1.php(任意php文件)
利用cmd制作一句话图片
weixin_30408165的博客
06-05 551
先cd进在图片和一句话木里面的文件夹 假设选择我的图片是:1.jpg 一句话是:2.php 命令:copy 1.jpg/a+2.php/b 生成的图片 转载于:https://www.cnblogs.com/haq5201314/p/6943513.html...
SQL注入(思维导图)
鸣蜩十四的博客
05-27 748
SQL注入与木上传
zgqtxwd的专栏
04-26 1153
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
2-7 【实验】14-图片绕过+代码审计
山兔的博客
03-27 3361
这节课,我们要开始讲pass-13,讲的跟我们之前稍有点不一样,因为这个漏洞,它不是单个的利用,是结合其它漏洞一块去利用 今天的漏洞是上传图片服务器图片就是图片的一种木,就是带有木图片图片 注意的有三点: 1.保证上传后的图片中仍然包含完整的一句话或webshell代码。 2.使用文件包含漏洞能运行图片中的恶意代码。 这点就是我们这篇文章讲的组合漏洞的一个利用,就是利用文件包含漏洞 3.图片要.jpg,.png,.gif三种后缀都上传成功才算过关! 图片就是我们在图片当中插入一句

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值