渗透数据库基础

已于 2022-03-27 14:34:29 修改
阅读量2k 收藏 2
点赞数 1
分类专栏: 渗透sql篇 文章标签: 数据库 database mysql
于 2022-03-11 13:19:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry_gujy/article/details/123421951
版权
本文介绍了数据库的基础知识,包括关系型和非关系型数据库的常见类型及其默认端口。重点讲解了mysql的基础命令和渗透过程中常用的命令,如查询用户、路径、版本等。并深入探讨了information_schema在mysql渗透中的核心作用,列出了一些关键查询,用于获取数据库信息、表信息、列信息等,对于理解数据库安全和渗透测试具有指导意义。
摘要由CSDN通过智能技术生成

常见关系型数据库:

        1、mysql 默认端口 3306

        2、mssql 默认端口 1433

        3、oracle 默认端口 1521

常见非关系型数据库:

        1、mongoDB 默认端口 27017

        2、redis 默认端口 6379

        3、cassandra 默认端口 9160

        4、memcache 默认端口 11211

mysql基础命令

        1、show databases //显示所有数据库

        2、show tables;//查看当前库下所有表

        3、drop database 库名; //删除库

        4、drop table 表名;   //删除表

        5、delete from 表名;//删除表里数据

        6、create database 库名 character set utf8; //创建数据库设置utf8字符集

        7、use 库名 //使用哪个库

        8、create table 表名(字段1 类型(长度),字段2 类型(长度));//创建表

        例:

                create table user(

                        id int(11) not null primary key auto_increment,

                        user varchar(255) not null,

                        phone bigint(12) not null

                )DEFAULT CHARSET

最低0.47元/天 解锁文章
数据库渗透_笔记篇
weixin_43736941的博客
08-07 1494
数据库写入shell 一.可利用sqlmap的–os-shell进行shell写入 利用条件: 存在注入点 要有file_priv权限 知道网站绝对路径 对web目录有写权限 复现过程 1.在centos(ip:172.16.2.240)上搭建漏洞环境sqli-LABS 2.因为写入需要file_priv权限,这里为了实验方便直接连上数据库进行查询,看到为空,说明对目录不做限制。file_priv权限查询如下: show global variables like '%secure%'; 如果为N
web渗透数据库基础(读取增删改查)
qq_40480474的博客
04-04 3292
这里以MySQL为例子。 数据库里有个特殊的数据库包含了所有的数据库名:information_schema 在information_schema里有一个特殊的表包含了所有表名:tables; 在information_schema里有一个特殊的表包含了所有字段名:columns; MySQL查询语法 MySQL数据库使用SELECT语句来查询数据。 语法 SELECT column_name,column_name FROM table_name [WHERE Clause][L.
数据库渗透
qq_35012243的博客
05-18 2131
1.1 快速搭建 discuz 论坛 1.2 使用 kali 下 BurpSuite 对 discuz 后台注入 php 木马 1.3 使用 Cknife“菜函”上传 webshell 木马到网站 1.4 使用 Webshell 查看 mysql 数据库密码并盗取数据库 ** 1.1 快速搭建 discuz 论坛 ** 1.1.1 攻击 思路 想要拿下一台主机 A 的权限: 1、了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。 2、拿到对 A 有一定权限的身仹。如果对方是一个 WEB 服务器.
前端开发转行做渗透测试,通过挖漏洞来赚钱
最新发布
shanguicsdn000的博客
09-21 902
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。更多的是了解目标业务流程和竞争对手之类,确定测试的优先级。漏洞分析。
WEB渗透测试数据库
04-01
PentestDB 1 介绍 本项目用于提供渗透测试的辅助工具、资源文件 1.1 辅助工具 提供轻量级的易扩展的工具,可以快速编写exploit、添加漏洞验证/扫描规则、添加指纹规则、爆破规则等;包含以下功能: Exploit系统。易扩展的exploit系统,能够使用API快速编写exploit,能够批量执行exploit 子域名爆破。爆破子域名,使用域传送、DNS爆破、GoogleHacking进行子域名爆破 C段扫描。C段扫描,支持生成html格式输出文件 服务端应用识别。识别CMS类型、Web服务器、操作系统、WEB中间件等 URI敏感资源爆破。爆破WEB敏感文件,整站备份、配置备份、敏感文件等 社工密码字典生成。根据社工信息生成密码爆破字典 Google Hacking。GoogleHacking,生成URL字典 编解码等功能。支持非常丰富的编解码方式,方便做payload编码 1.2 资源文件 各种渗透测试常用的资源文件,包括各种爆破字典、exploit、webshell、攻击payload等 2 安装 从这里下载最新版本,或使用命令 git clone https://github.com/alpha1e0/pentestdb.git clone到本地 PentestDB支持Windows/Linux/MacOS,需使用python 2.6.x 或 2.7.x运行 2.1 解决lxml依赖 项目中的脚本文件依赖于lxml linux系统一般默认安装lxml,如果没有可通过以下方式安装: pip install lxml apt-get install lxml yum install lxml windows可通过以下方式安装lxml: 到这里找到对应系统的安装包,下载到本地 安装安装包,pip install package.whl 2.2 解决nmap依赖 项目中的C段扫描依赖于nmap扫描器 到这里下载nmap相应版本 在windows下需要设置环境变量,让系统能够找到nmap.exe。 3 使用 3.1 常用脚本 项目中的python脚本提供用有用的渗透辅助功能,根目录下的pen.py为脚本入口,另外script目录下也有其他一些脚本。 3.1.1 Exploit系统 pen.py的exploit子命令提供了exploit模块相关操作,exploit模块是一个轻量级的exploit框架,可以编写各种web漏洞的exploit: 搜索exploit信息 增加、删除、修改exploit信息 执行某个exploit 搜索并批量执行exploit exploit保存在项目根目录下的exploit目录下 例如: # 列举、搜索、注册、更新、删除 pen.py exploit -l pen.py exploit -q appName:joomla pen.py exploit --register exploit pen.py exploit --update cms_joomla_3_4_session_object_injection.py pen.py exploit -d "Joomla 1.5~3.4 session对象注入漏洞exploit" pen.py exploit --detail "Joomla 1.5~3.4 session对象注入漏洞exploit" # 执行exploit pen.py exploit -e cms_joomla_3_4_session_object_injection.py -u http://127.0.0.1:1234 --attack pen.py exploit -s appName:joomla -u http://127.0.0.1:1234 --verify pen.py exploit -s appName:joomla -u @url.txt 注:有关exploit模块的详细信息请参考exploit/readme.md 3.1.2 服务端应用识别 pen.py的service子命令提供了服务端应用识别的功能,能够识别服务器信息,包括: 操作系统 web服务器 web中间件 CMS等 例如: pen.py service http://xxx.com # 开启CMS识别加强模式 pen.py service http://xxx.com --cms 3.1.3 社工密码字典生成 pen.py的password子命令提供了根据社工信息生成密码字典的功能,能够设置不同关键字生成密码字典
渗透测试之【系统与数据库安全】
m0_67742636的博客
11-27 702
web安全之系统数据库安全
渗透测试---数据库安全: sql注入数据库原理详解
有勇气的牛排博客
02-12 4246
文章目录1 介绍2 一般步骤3 注入3 函数3.1 常用的系统函数3.2 字符串连接函数3.2.1 concat() 函数3.2.2 concat_ws() 函数3.2.3 group_concat() 函数4 注入4.1 联合查询 union 注入4.2 information_schema 注入5.2.1 获取所有数据库4.2.2 获取指定数据库的表4.2.3 获取指定表的字段名4.2.4 获取字段值得内容4.3 基于报错信息注入4.3.1 三个常用报错函数4.4 数字注入4.5 搜索注入5 sql注入
推荐几本数据库基础
wujiandao的专栏
07-06 2715
点击蓝色“有关SQL”关注我哟加个“星标”,天天与10000人一起快乐成长这两天费劲心力,写了一篇技术文《SSD怎样影响数据库性能》。选这个主题时,我就预感,阅读量不会太好。结果也不出我所...
数据库基础知识参考试题及答案解析.docx
12-20
数据库基础知识参考试题及答案解析 数据库基础知识是计算机科学和信息技术的重要组成部分,涉及到概念模型、实体-联系模型、关系数据模型、数据管理技术、SQL 语言等多方面的内容。 概念模型是对信息世界建模,...
数据库基础知识点介绍
07-14
数据库基础知识点介绍: 数据库系统概述: 数据库系统是现代信息技术中不可或缺的一部分,它的发展起源于20世纪60年代末,随着计算机技术的进步而不断演进。数据库技术的出现不仅推动了计算机技术在各行各业的应用...
MDUT v2.1.1 图形化的数据库利用工具,数据库渗透测试工具
11-23
基于前人 SQLTOOLS 的基础开发了这套程序(向 SQLTOOLS 致敬),旨在将常见的数据库利用手段集合在一个程序中,打破各种数据库利用工具需要各种环境导致使用相当不便的隔阂。此外工具以 JAVAFx 作为 GUI 操作界面,...
MySQL数据库渗透及漏洞利用总结
05-09 4255
Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和W...
渗透知识-内网渗透(详细版本)
热门推荐
Jian Sun_的博客
02-11 3万+
1. 内网安全检查/渗透介绍 1.1 攻击思路 有2种思路: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门,实现长期控制和获得敏感数据的方式; 攻击办公网的系统、办公网电脑、办公网无线等方式,一般是采用社工,实现控制办公电脑,再用获得的办公网数据,可能是内网的各种登录账号和密码,再获取办公网或者生产网的有用数据。 一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。 1.2 敏感资
数据库渗透测试之MySQL
gRpc的博客
05-02 463
在知道密码的情况下: 可以列出数据库
架构师都要看懂的大数据变现模式
AndroidDeveloper
05-14 565

 
 
 
 
 
 
 大数据(big data)指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。是需要...
灵活地运用SQL Injection做数据库渗透
06-12 734
文章作者:cawan信息来源:邪恶八进制安全小组如何灵活地运用SQL Injection做数据库渗透的一种思路如今,很多关于mssql数据库渗透技巧已不能有效地获取有用的数据值。比如在一个怀疑是注入点的地方 www.xxxxx.com/blog.asp?id=4当加入" "符号进行注入测试时,www.xxxxx.com/blog.asp?id=4出错信息是,[Microsoft][ODBC
渗透第五课 数据库
qq_42048911的博客
11-20 333
暴库 数据库: access 文件形式data.mdb sqlsever/mysql(服务器) 找数据库连接文件 xycms类型的 后面加xydata/xycms.mdb 有特殊符号的进行URL编码解码 可以获取语法找到数据库文件 下载漏洞利用:down.asdp?FileName= 蜘蛛爬行 找到url 下载conn.asp conf...
SQL注入渗透某网络安全公司的网站全过程
巅峰测试
08-03 1585
 前言:写这篇文章不是为了告诉大家如何去做入侵,而是希望提醒大家:“入侵是偶然的,但安全并不是必然的”,不要疏忽运作上的一些小细节。笔者一直都有经常性地到一些安全方面的网站瞎逛的习惯的,最近因为一次机缘巧合之下通过链接来到广州某个颇有名气的网络安全公司的网站。说实在的,这个网站好象挺多元化的,提供软件下载之余,还有自己的论坛(嘿嘿,界面做得还真不赖嘛,不知道安全性如何呢?)。出于对其安全操守的
常用渗透测试工具(数据包渗透测试)
ZL_1618的博客
03-21 835
Burp Suite 能高效率地与多个一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。在一个工具处理HTTP 请求和响应时,它可以选择调用其他任意的Burp工具。例如:代理记录的请求可被Intruder 用来构造一个自定义的自动攻击的准则,也可被Repeater 用来手动攻击,也可被Scanner 用来分析漏洞,或者被Spider(网络爬虫)用来自动搜索内容。应用程序可以是“被动地”运行,而不是产生大量的自动请求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值