kali linux渗透测试 第二章 sql注入介绍及一个简单的例子

最新推荐文章于 2024-03-27 17:19:51 发布
最新推荐文章于 2024-03-27 17:19:51 发布
阅读量595 收藏
点赞数 2
分类专栏: kali linux渗透测试 文章标签: sql 安全 数据库 linux 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maluxiao123/article/details/107943265
版权

要学习sql注入首先我们需要sql注入的原理是什么,在日常我们所浏览到的大多数网站中,其内容(图片和文字等)很多都是从数据库中查询并返回的结果,包括你登录的时候都是使用你输入的帐号密码来对数据库进行查询,查看是否匹配。

而sql注入就是在url或者帐号密码输入框中使用sql语句来让过滤不严谨的数据库进行自己想要的执行的sql语句。而要做到上面一点需要我们怎么进行呢。举个简单的例子,

一个id输入框,输入id可查看到first name和surname两个字段,

第一步也是最重要的一步,我们需要猜测他的sql查询语句

最常见的猜测 select First name,Surname from 表名 where id =‘’ ,为判断我的猜测是否正确,我在输入框输入一个单引号‘ 输入后他的sql语句就会变成where id =‘’’    三个单引号导致sql语句无法正确闭合会出现报错而不会返回数据

果然,出现报错,其中最外面的一组单引号是出现报错时自带的单引号

猜测sql语句的办法还有几种,后面在具体讲,这里只举一个简单的例子。

之后我们想要执行想要的语句就需要对原有语句进行拼接。如果我在输入框输入‘union select-- ,则原语句变为select First name,Surname from 表名 where id =‘’union select-- ’   --空格是注释符,表示--后面的内容不执行,这样的话id再次闭合,而后面的语句就是我们想要输入的语句,这就是sql注入的一个简单例子。

当然一般来说网页都会将输入的内容进行过滤,比如输入union空格或者select会提示你输入的内容有非法字符。这个时候我们就需要进行绕过,绕过的方法有多种比如双写、转义、改变大小写,添加通配符等等

 下一小结我们再具体讲讲绕过和一个比较实际的例子

thesky0001
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux 高级渗透测试(原书第2版)(带详细目录)
06-18
KaliLinux面向专业的渗透测试安全审计,集成了大量精心...本书在KaliLinux平台上从一个攻击者的角度来审视网络框架,详细介绍了攻击者“杀链”采取的具体步骤。通过阅读本书读者能快速学习并掌握渗透测试方法和工具。
使用kali完成sql注入
pray030的博客
12-09 8868
使用kali完成sql注入 本文仅用于学术参考分享,如有侵权,请联系作者删除,请勿随意对网站进行sql注入 前期准备 1.kali虚拟机(自带sql注入所需工具) 2.能够进行注入的网站 实验步骤 1.查看是否可以sql注入 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ GET 2.爆库 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ --dbs 3.查看当前使用的是哪个
Linux期末大作业
m0_58285978的博客
12-02 3172
Linux大作业,有关git,有关套接字,有关hugo
网络安全Kali Linux 进行SQL注入与XSS漏洞利用
最新发布
cronaldo91的博客
03-27 1614
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
Linux大作业步骤
li_mu_yao的博客
12-26 869
Linux大作业步骤
Kali Linux中的SQL注入攻击
CJ_fei7的博客
11-30 1751
SQL注入攻击是一种常见的网络安全漏洞,它可以让攻击者利用不当的输入验证机制来执行恶意的SQL语句,导致数据库被盗取、数据泄露、甚至系统被完全控制。在本篇博客中,我们将重点介绍Kali Linux中的SQL注入攻击,并通过实例演示如何使用Kali Linux进行SQL注入攻击。sqlmap是一款自动化的SQL注入工具,它可以帮助我们发现和利用网站中的SQL注入漏洞。总之,学习和了解Kali Linux中的SQL注入攻击是非常重要的,它可以帮助我们更好地了解和防御SQL注入攻击,从而加强网络安全
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 5642
安全等级调为low进入SQL Injection(Blind)页面。
kali Liunx 利用漏洞注入——SQL注入
Sword_of_despair的博客
11-19 401
和其他示例一样,命令注入漏洞是由于输入验证机制不佳,以及使用用户提供的数据来形成字符串,这些字符串可能将用作操作系统的命令。20.下面维续猜解后面的字符,在结果中,你可能会发现%的结果总为 trme,这是因为%是通配符,它可以和任意一个字符匹配到。如果想要获得用户名和密码,就像在前面的小节中所做的那样,需要知道具有这些信息的表的名称。我们的载荷列表是a-&,1-9,和所有特殊符号的集合。应用程序会对上传的文件进行安全检查,当然,安全检查的手段是多种多样的,常见的是对后缀名的检查和。
sqlmap详细教程
简介
01-04 3118
SQLmqp教程!
Linux故障注入测试方法,一种指令级Linux内核瞬时故障注入方法研究.pdf
weixin_30978959的博客
05-12 255
一种指令级Linux内核瞬时故障注入方法研究.pdf第 41卷 第 8期 计 算 机 工 程 2015年 8月Vo1.41 No.8 ComputerEngineering August...
操作系统大作业1:对linux添加系统调用/内核模块,并对其进行跟踪测试
yys_g_g_1031的博客
03-17 352
在进行一次操作系统大作业,试错很多次终于成功后的记录
web渗透测试详细入门实践课程-kali/sql注入
06-20
本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。 购买课程的同学可以获取价值200的教学资源...
Kali Linux渗透测试高级篇.rar
09-12
Kali Linux 是一款专门用于IT安全评估的Linux操作系统。目前作为被欢迎的Linux操作系统广泛用于安全评估项目中,其中提供600+安全工具,帮助安全人员更好的完成项目。课程主要内容:学习Kali Linux安全测试使用工具...
Kali Linux渗透测试技术详解
02-19
第1篇为Iinux安全渗透测试基础,介绍Linux安全透简介、安装及配置KaliLinux 操作系统、配置目标测试系统:第2篇为信息的收集及利用,介绍了信息收集、漏洞扫描、漏洞利用等技术:第3篇为各种渗透测试介绍了权限...
基于Kali Linux渗透测试.pdf
09-06
基于Kali Linux渗透测试.pdf 本文档总结了基于Kali Linux渗透测试...本文档提供了基于Kali Linux渗透测试的知识点,涵盖了渗透测试的概念、方法、工具和过程等方面,为读者提供了一个系统的了解渗透测试的机会。
linux命令注入,命令注入 ~ chuddy’s Blog
weixin_34515601的博客
04-28 1961
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?简介命令注入(也称为shell注入)是一种web安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意操作系统(OS)命令,通常会完全破坏应用程序及其所有数据。通常,攻击者可以利用OS命令注入漏洞来破坏宿主基础设施的其他部分,利用信任关系将攻击转移到组织内的其他系统。在Web应用中,有时候会用到一些命令执行的函数,如ph...
kali下的SQL注入(DVWA sql注入 low等级)
weixin_43749051的博客
03-06 2017
(1)在kali下打开浏览器,输入http://192.168.0.184(win7的IP地址)/DVWA/login.php 输入账号密码登录进去,然后点击左侧的“DVWA Security”,选择“low”级别,点击选定。 (2)打开火狐浏览器,添加附件组件tamper data,安装后打开,然后登录dvwa,获取cookie值 (3)获取要测试的url,点击SQL Injection菜单,在输入框输入1,点击submit,获取待测试的url:http://192.168.169.129/dvwa
一文带你学习SQL注入
大河之犬的博客
12-21 5479
但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。下面是一个在Java中调用存储过程的例子,其中。
kali linux渗透测试靶机
02-23
Kali Linux提供了多种渗透测试靶机,用于练习和测试渗透测试技术。这些靶机模拟了真实世界中的各种漏洞和攻击场景,帮助安全专业人员熟悉和理解不同类型的漏洞,并学习如何利用它们。 以下是一些常见的Kali Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值