SQL注入漏洞

已于 2022-05-13 13:35:34 修改
阅读量264 收藏
点赞数
文章标签: 网络安全
于 2022-05-13 09:55:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62309510/article/details/124745995
版权

启动靶场http://110.40.154.100:8000/

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMyMTcxNzYx,size_16,color_FFFFFF,t_70#pic_center
然后输入账号admin 密码a123123123

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMyMTcxNzYx,size_16,color_FFFFFF,t_70#pic_center
登陆http://yourip:8000/admin/vuln/collection/

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMyMTcxNzYx,size_16,color_FFFFFF,t_70#pic_center

登陆进行收集添加用户

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16

 

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16 

更改用户 watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16

勾选允许权限

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16 

 

注入漏洞 http://ip:8000/admin/vuln/collection/?detail__a%27b=123

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16

 

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETkBtMF82MjMwOTUxMA,size_20,color_FFFFFF,t_70,g_se,x_16
 

 

报了SQL语法错误,说明注入存在,此时,后端执行的代码:collection.objects.filter(**dict(“detail__a'b'':'1')).all()   最后执行成功

 

 

m0_62309510
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL 注入漏洞详解
Toasten
07-23 1320
SQL 注入即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
SQL注入漏洞检测
Kali与编程
12-10 1319
SQL注入漏洞是一种常见的安全漏洞,渗透测试工程师需要掌握SQL注入漏洞的检测技术,以便在测试中及时发现和利用漏洞。常见的注入点包括GET参数、POST参数、Cookie、HTTP头部信息和用户名密码等,常见的注入方式包括基于错误的注入、基于联合查询的注入、基于布尔盲注的注入、基于时间盲注的注入和基于报错盲注的注入等。本文将从渗透测试工程师的角度,详细介绍SQL注入漏洞的检测基础,包括常见的注入点、注入方式、手工注入和自动化注入等。常见的SQL注入技术包括基于错误的注入、基于时间的注入、联合查询注入等。
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
通达OA sql注入漏洞.zip
08-24
然而,就像许多其他复杂的软件系统一样,它可能存在安全漏洞,其中之一就是SQL注入漏洞SQL注入网络安全中的一个常见问题,允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库,获取敏感信息,甚至完全控制...
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
### SQL注入漏洞知识点 1. **SQL注入概念** SQL注入SQL Injection)是一种攻击技术,攻击者通过在Web表单输入或通过修改URL查询字符串来插入恶意的SQL代码,一旦网站应用未进行适当的输入验证或对用户输入的代码...
CSZ CMS 1.2.X sql注入漏洞
09-07
CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 ## 二、漏洞影响 CSZ CMS ...
YXcms-含有SQL注入漏洞的源码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的源码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8420
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ant-design-vue-2.0.0-beta.5.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-vue-1.1.1.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ssm464基于java的可视化高校公寓管理系统+vue.zip
08-26
现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本可视化高校公寓就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事半功倍的效果。此可视化高校公寓利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发。实现了用户在线选择试题并完成答题,在线查看考核分数。管理员管理班级管理、每日打卡管理、字典管理、访客管理、宿舍缴费记录管理、离校登记管理、宿舍管理、宿舍管理员管理、物品进出登记管理、学生管理、住宿信息管理、管理员管理等功能。可视化高校公寓的开发根据操作人员需要设计的界面简洁美观,在功能模块布局上跟同类型网站保持一致,程序在实现基本要求功能时,也为数据信息面临的安全问题提供了一些实用的解决方案。可以说该程序在帮助管理者高效率地处理工作事务的同时,也实现了数据信息的整体化,规范化与自动化。
论坛小程序源码 论坛小程序代码(高分毕设项目源码)
08-26
1. 论坛小程序代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
springboot379防疫物资管理信息系统pf.zip
08-26
防疫物资管理信息系统可以对防疫物资管理信息系统信息进行集中管理,可以真正避免传统管理的缺陷。防疫物资管理信息系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,防疫物资管理信息系统都可以轻松应对。所以,防疫物资管理信息系统的运用是让防疫物资管理信息系统信息管理升级的最好方式。它可以实现信息处理的便利化要求,还可以规范信息处理的流程,让事务处理成为管理人员手中的一件简单事,而不是之前手工处理时的困难事。尽管防疫物资管理信息系统具备较完善的功能,但是也需要管理人员利用闲暇时间提升自身素质以及个人能力,在操作防疫物资管理信息系统时可以最大化运用防疫物资管理信息系统提供的功能,让系统在满足高效率处理数据的同时,也能始终稳定运行,还可以确保数据的可靠性与数据处理的质量。
ant-design-vue-2.0.0-rc.4.zip
最新发布
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-vue-1.3.2.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-vue-1.5.0-rc.6.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
SQL注入漏洞详解与实战教程
本资源是一份关于Web渗透测试入门的教程,重点讲解了SQL注入漏洞的相关知识。SQL注入漏洞是Web安全领域的一个严重威胁,它发生在黑客通过恶意构造SQL语句,利用应用程序处理用户输入时的不当过滤或转义,获取、修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值