小迪安全|第12天:SQL注入之简要SQL注入

已于 2022-11-17 20:41:29 修改
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 小迪安全 文章标签: 网络安全
于 2022-11-15 21:19:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63605354/article/details/127801931
版权

目录

每个数据库都对应一个网站

想要得到数据,就必须知道是哪个数据库,哪个表,哪个列

MySQL5.0以上是高版本,以下是低版本

两个靶场:1.Sqlilabs   2.忍者安全测试系统

下载Sqlilabs:

忍者安全测试系统的安装教程参考:忍者安全渗透系统(NINJITSU OS V3)的安装详细过程,亲测新旧vm版本都可安装,附带下载来源_黑色地带(崛起)的博客-CSDN博客

如何判断有无注入点?

老方法:

输入 and 1=1   网页正常

输入and 1=2    网页错误

则说明存在SQL注入

在这个“id=”后面输入数据,乱输:

如果页面有变化,则说明参数对它有影响,它是要接受参数的

如果页面无变化,则说明参数对它无影响,它不接受用户自己定义的参数

若页面自动跳转或报错404:说明这个网站有检测的,应该没有SQL注入

下面的报错就是让页面显示出数字来:在这里在id前加个-号

以下是信息收集的方法:

页面报错什么数字,就在什么数字上查:

在这里输入了数据库名字和数据库版本(也可以选别的):

信息收集得出的结果如下:

schema_name:数据库名

information_schema.schemata:记录所有数据库名的表

开始注入:

 注入成功,成功获取想要的数据。

以上都是MySQL数据库的注入点。

楚楪
关注
专栏目录
Ninjutsu OS V3 忍者安全渗透系统2020
08-07
Ninjutsu OS V3 忍者安全渗透系统2020
忍者安全渗透系统(NINJUTSU OS v3)系统安装以及中文包下载安装
热门推荐
qq_35258210的博客
04-06 3万+
将镜像下载好使用VM安装,我给该系统分配了70个G硬盘,6G内存 目录 系统安装 安装中文包 系统安装 1、进入系统安装后点击第二个选项选择chinese再点击下一步 输入密钥,因为没有密钥所以点箭头指向那个就行 2、同意并下一步 3、选择第二个 4、选择你要安装到哪个盘,选择好点击下一步 5、等待安装完毕 6、安装完毕后,开锁密码toor 桌面 安装中文包 1、win+R输入services.msc回车键 2、往下拉找到windows upda
5--SQL注入小迪安全
最新发布
2301_77946674的博客
07-31 912
php文件中,通过str_replace函数将select转换成fuck;str_replace函数详解绕过方法:对过滤关键字进行大小写,hex编码,叠写,等价函数替换等等。
忍者安全渗透系统(NINJITSU OS V3)的安装详细过程,亲测新旧vm版本都可安装,附带下载来源
02-14 1万+
忍者安全渗透系统(NINJITSU)的安装详细过程,亲测新旧vm版本都可安装,附带下载来源
小迪网络安全笔记》 第十二节:WEB漏洞-SQL注入简要SQL注入
小陈的博客
08-20 4866
前言 在本系列课程学习中,SQL注入漏洞将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。 注:左边的比右边的难,学习顺序为从右向左。 一、忍者安全测试系统使用说明 二、上述思维导图简要说明 操作系统:windows和linux对大小写敏感不同,如果查了操作系统可以避免这个问题。 数据库名:如果不知道数据库名查询的时候会有问题。
12)web安全|渗透测试|网络安全 信息收集,注入获取数据图解,附带靶场搭建教程及可能遇见的问题
02-20 1799
简单的注入方法图解,以及详细图解靶场应用,总结搭建环境遇见的问题
学会ASP教程,通俗易懂
11-01
第十:优化与安全 学习如何优化ASP代码,提高性能,以及常见的Web安全问题和防范措施,如SQL注入、跨站脚本攻击(XSS)等。 这十的学习计划覆盖了ASP的各个方面,从基础到进阶,旨在让初学者快速上手并能够独立...
Java相关课程系列笔记之十四Hibernate学习笔记
02-18
- 容易出现SQL注入安全问题。 - 缺乏对对象模型的支持,需手动处理对象关系映射。 1.4 Hibernate的设计思想 Hibernate基于POJO(Plain Old Java Object)和面向对象的设计原则,遵循“贫血”模型,将数据操作封装...
PHP与MySQL程序设计 第四版
11-26
书中会讨论如防止XSS攻击、CSRF攻击、SQL注入等常见安全问题,以及如何实施最佳安全实践。 11. MVC模式:书中可能会介绍Model-View-Controller(MVC)架构模式,这是一种常见的Web应用程序设计模式,有助于提高代码...
云析学院-字节跳动2020第1季度面试题.pdf
07-30
7. **ApplicationContext初始化**:Spring的ApplicationContext初始化时会加载配置文件,创建Bean实例,处理依赖注入。对于循环依赖,Spring使用三级缓存机制来解决。 8. **GC收集器**:垃圾收集器如Serial、...
小迪sql注入.md
12-11
小迪sql注入.md
sqli-labs 靶场搭建
weixin_56306210的博客
07-26 1215
sqli-labs 靶场搭建
SQL注入教程
weixin_51047454的博客
03-17 1万+
sql注入教程
渗透测试---数据库安全: sql注入数据库原理详解
有勇气的牛排博客
02-12 4221
文章目录1 介绍2 一般步骤3 注入3 函数3.1 常用的系统函数3.2 字符串连接函数3.2.1 concat() 函数3.2.2 concat_ws() 函数3.2.3 group_concat() 函数4 注入4.1 联合查询 union 注入4.2 information_schema 注入5.2.1 获取所有数据库4.2.2 获取指定数据库的表4.2.3 获取指定表的字段名4.2.4 获取字段值得内容4.3 基于报错信息注入4.3.1 三个常用报错函数4.4 数字注入4.5 搜索注入5 sql注入
DVWA-------简单的SQL注入
weixin_53139899的博客
04-17 1万+
DVWA-----SQL注入 提示:以下是本篇文章正文内容,下面案例可供参考 一、实验目的 (1)理解SQL注入的原理; (2)学习手工注入的过程; (3)掌握SQL注入工具的使用; (4)掌握SQL注入的防御技术。 二、实验要求 1、登陆DVWA平台,结合所学SQL注入漏洞的基本知识,爆出MYSQL版本号、安装路径等信息;最终 爆出当前使用的数据库名称、数据表名称、字段名称、以及关键的字段值(比如用户名、密码等)。 2、DVWA安全级别设置为“Low”或者“Medium”,均可。 判断是否存在SQL注入
sql注入详解
m0_46571665的博客
05-24 3317
# sql注入详解 ## SQLI介绍 SQLI,sql injection,我们称之为sql注入sql(Structured Query Language),叫做结构化查询语句。在我们的应用系统使用 sql 语句进行管理应用数 据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接 sql 语句的 时候,我们可以改变 sql 语句。从而让数据执行我们想要执行的语句,这就是我们常说的 sql 注入。 ## 一、漏洞原理分析 sql注入的原理通俗的来说,就是通关SQL命令将web表单
SQL注入详解
读书 买花 长大
11-12 4243
SQL-sql
sql注入详细过程
qq_42890862的博客
06-30 5977
mysql mysql5.0以上版本包含内置的information_schema数据库,它储存着mysql所有的数据库和表结构信息,利用该数据库可以查询到所有的数据库和表的内容 5.0 暴力破解的方式获取数据 1.原理 当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 2.sql手工注入的基本思路 (1)找到注入点 在我们可控的输入部分加一些符号,查看页
PHP for the Web基础教程:第四版英文高清版
在第四版中,读者可以期待以下内容: 1. **PHP 基础**:涵盖了 PHP 的安装、配置和基本语法,包括变量、数据类型、运算符以及控制结构(如 if-else 和 switch)。 2. **字符串与数组操作**:讲解了如何处理字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值