sqli-labs通关复现

已于 2023-09-09 08:30:18 修改
阅读量84 收藏
点赞数
文章标签: 数据库
于 2023-09-07 13:48:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64352136/article/details/132735627
版权
文章介绍了如何通过Sqli-Labs的练习来判断SQL注入的存在,涉及数字值验证、单引号在注入中的作用,以及如何通过特殊字符和回显进行字符型与数字型SQL拼接的检测。此外,还提及了MySQL数据库函数在获取数据名和版本号时的应用。
摘要由CSDN通过智能技术生成

1.
sqli-labs第一关

(1)判断是否存在sql注入

1. 提示你输入数字值的ID作为参数,我们输入?id=1

注:

详细见:为什么有时候sql注入要在id=1后面加上单引号? - 知乎 (zhihu.com)

2.通过数字值不同返回的内容也不同,所以我们输入的内容是带入到数据库里面查询了。

(3).接下来我们判断sql语句是否是拼接,且是字符型还是数字型。

%27这里表示的是单引号 ( ' ) 

注:SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master_Dooz的博客-CSDN博客

4.可以根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。

(2)注入

获取当前数据名和版本号,这个就涉及mysql数据库的一些函数,记得就行。通过结果知道当前数据看是security,版本是5.5.29。

树上一太阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqli-labs通关记录
qq_39670065的博客
07-11 2792
sqli-lab通关记录 1.docker搭建 运行:docker info //查看docker信息,确认docker正常 搜索sqli-labs:docker search sqli-labs 建立镜像:docker pull acgpiano/sqli-labs 查看存在的镜像:docker images 运行存在的镜像:docker run -dt --name sqli -p 80:80 --rm acgpiano/sqli-labs (参数解释:-dt 后台运行; --name 命名
sqli-labs 通关记录 01
学习
08-15 373
如图,我们先使用单引号注入进行测试, 结果显示,有报错,接下来用 and 1=1和and 1=2分别测试 ,结果显示,它能执行我们的两条注入语句,1=1不报错,1=2报错 既然可以执行我们的语句,接下来就是通过注入提数据 利用union 查询,通过写入 select 1,2,3进行回显 。 既然有数据回显,那就继续查询,查当前用户,查数据库版本号 http://192.168.18.136/sqli-labs-master/Less-1/?id=-1' union...
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 3万+
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析 详细,超级详细
SQL注入:sqli-labs靶场通关(1-37关)
qq_68163788的博客
02-03 6956
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
spring事务详细讲解-深入浅出
小电玩
09-08 423
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
数据同步是如何实现的?为什么需要数据同步?
oOBubbleX的博客
09-05 896
实时数据同步,确保数据的一致性和实时更新性,将有利于企业各部门之间高效协作,从而支持企业的业务运作和决策。本文将介绍数据同步概念、数据同步的步骤、数据同步的方式,从而加深对数据同步的认识。
【提效工具】AI工作流的1-10个实际落地场景
万物皆有灵
09-09 519
在这个快速发展的数字时代,人工智能(AI)正在以惊人的速度改变我们的工作方式。无论你是开发者、教育工作者还是内容创作者,AI工作流提示词助手都能为你提供无与伦比的支持。今天,我们将深入探讨,20个实际落地场景,帮助你更好地理解如何利用这些工具提升工作效率和创造力。💡。
【MYSQL
ABC1234567890ABM的博客
09-06 928
单列索引情况:根据下图可以看到,查询条件中有phone和name,他们都有单列索引,但是执行explain后发现真正只走了phone的索引,因为phone索引中没有name值,故还需回表走一次聚簇索引。为了避免DML在执行时,加的行锁与表锁的冲突,在InnoDB中引入了意向锁,使得表锁不用检查每行数据是否加锁,使用意向锁来减少表锁的检查。全局锁就是对整个数据库实例加锁,加锁后整个实例就处于只读状态,后续的DML的写语句,DDL语句,已经更新操作的事务提交语句都将被阻塞。表级锁,每次操作锁住整张表。
jmeter之setUP、tearDown线程组
回家吃月饼的学习交流地
09-07 480
jmeter之setUP、tearDown线程组的使用
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 497
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
Oracle 12c 及以上版本补丁更新说明及下载方法
最新发布
zd1320732的专栏
09-10 185
参考下面的文章,会对补丁更新的流程有一定的了解。
MyBatis面试
Tony_yitao的博客
09-09 560
MyBatis面试
informix
weixin_44035362的博客
09-05 222
数据库很抽象,没有什么现代方法,推荐不要用。group_by不支持text,从设计上不建议使用text作为字段属性。代表日期格式从年到秒。
sqli-labs复现
09-08
要使用PHPStudy搭建SQLi-Labs,您可以按照以下步骤进行操作: 1.下载SQLi-Labs:您可以从GitHub上下载SQLi-Labs的代码并将其解压缩到您的本地计算机上。 2.安装PHPStudy:您可以从PHPStudy官网下载适用于您操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值