sql注入 小白入门学习笔记(四)

最新推荐文章于 2024-04-20 13:29:40 发布
最新推荐文章于 2024-04-20 13:29:40 发布
阅读量317 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mastergu2/article/details/106665678
版权

对于这种post请求,我们不方便直接在浏览器地址栏进行注入,当然也可以利用hackbar等插件,但是最好还是使用burp suite抓包到转发器进行注入

在这里插入图片描述
如图所示,我们要进行注入的话还是首先要测试诸如点,就在passwd的值后面加’或者\之类的,和之前的注入操作基本相似。

然后这里有一个万能密码就,虽然你密码输的不一定对,但是我 or 1=1 就一定对了

如图

在这里插入图片描述
就可以看到这边结果已经是登录成功了

在这里插入图片描述

基于报错的注入

http://127.0.0.1/sqli-labs/Less-1/?id=0’ union select 1,count(*),concat(0x3a,(在这里插入常规的查询语句),0x3a,floor(rand(0)*2))a from information_schema.columns group by a --+

http://127.0.0.1/sqli-labs/Less-1/?id=0’ union select 1,count(*),concat(0x3a,(select group_concat(table_name) from information_schema.tables where database()=“security” ),0x3a,floor(rand(0)*2))a from information_schema.tables where database()=“security” group by a --+在这里插入图片描述

所以这个格式要记住,关于报错产生的原因,大致就是由于group by 在判断和添加的时候会执行各执行一次后面的条件语句,由于随机数两次执行的结果不一样导致报错,而我们就利用这个报错提示我们来提示一些想要查询的东西

而具体的细节在我前面转载的一篇文章也有,这里同样附上链接
https://www.freebuf.com/column/235496.html

LovelyLucy
关注
SQL注入漏洞复现:探索不同类型的注入攻击方法
weixin_43263566的博客
08-26 1457
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
[网络安全提高篇] 一〇六.SQL注入之手工注入和SQLMAP入门案例详解
杨秀璋的专栏
03-26 1万+
前文带领大家Oracle数据库注入漏洞和致命问题,包括各种类型的注入知识。这篇文章将详细介绍SQL注入知识,结合案例对比手工SQL注入和SQLMAP的基本用法,案例和基础原理的结合能加深大家对SQL注入的理解。希望这篇文章对您有帮助,更希望帮助更多安全或红蓝对抗的初学者,也推荐大家去使用Cyberbit Range的靶场,且看且珍惜。
地址栏注入笔记
weixin_34384915的博客
11-28 198
2019独角兽企业重金招聘Python工程师标准>>> ...
SQL注入,很详细
m0_63683040的博客
04-20 1566
SQL注入(数字、UNION、字符型、布尔盲注、时间、报错、堆叠) SQL注入漏洞的方法 1.数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,这是一个get型接口,发送这个请求相当于调用一个查询语句: PHP源码: $sql = "SELECT * FROM database_name WHERE id =",$_GET[‘id’] 在浏览器地址栏输入:learn.me/sql/article.php?id=2-...
SQL注入基础教程
wmr123456001的博客
01-31 728
关于SQL注入的基础教程
浏览器插件 实现简单的网页拦截、信息窃取的脚本注入
ziwenya的博客
08-21 1425
浏览器插件 实现简单的网页拦截、信息窃取的脚本注入
过滤器防止地址栏注入登录
明某的博客
07-14 1158
继承的是OncePerRequestFilter,在spring中默认继承的也是OncePerRequestFilter,他能够确保在一次请求只通过一次filter,而不需要重复执行 package org.ems.filter; import java.io.IOException; import javax.servlet.FilterChain; import javax.servl
java资源之Mybatis基础入门学习笔记,详细解析,适合新手,第二天进阶笔记
10-29
`${...}` 是简单的字符串替换,它会将动态内容直接拼接到 SQL 语句中,可能导致 SQL 注入问题,降低系统安全性。而 `#{...}` 则是预编译参数,它以占位符形式生成 SQL,能有效防止 SQL 注入,是推荐的使用方式。 在...
JDBC入门SQL注入实践:小白理解与代码示例
本篇文章主要介绍了树懒在学习Java Database Connectivity (JDBC)过程中的一次实践笔记,针对第13天的内容,重点集中在JDBC的基本操作和数据库连接管理上。作者作为移动开发的小白,正在逐步理解如何使用JDBC进行...
宝塔WAF-get_site_status-SQL注入漏洞(含批量验证poc)_堡塔云waf存在sql注入
最新发布
2301_76225520的博客
04-20 652
个人可以走的很快,但一群人才能走的更远!当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
URL跳转、命令注入、文件操作类漏洞介绍
giun的博客
03-04 2745
一、什么是URL跳转漏洞呢 借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。 二、实现方式 1、Header头跳转 实现代码 2、javascript跳转 实现代码 3、meta跳转 三、原理分析 、什么是命令注入 系统命令注入 五、web应用如何注入命令 PHP执行命令的注入 例如 分析攻击过程 六、常见的文件操作 七、常见的文件操作漏洞 1、...
常用注入 Script 方法
王乐平 技术博客
01-31 2347
js 代码注入
防止用户从地址栏直接访问后台接口
热门推荐
段宜恩的博客
03-13 1万+
我们可以通过判断拦截器、过滤器http请求头里的referer来实现,但是存在一定的问题 在拦截器的perHandle方法中判断httpServletRequest.getHeader("referer")是否为空,若为空则拦截来防止用户通过地址栏直接访问后台接口。 HTTP Referrer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告
链接注入(便于跨站请求伪造)
日拱一卒无有尽,功不唐捐终入海
11-25 1万+
安全风险: 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 可能原因 未对用户输入正确执行危险字符清理 技术描述 “链接注入”是修
SQL注入-文件操作
渗透笔记
01-13 5045
1.通过load_file()函数将文件内容爆出来 前提条件 1. 当前权限对该文件可读 2. 文件在该服务器上 3. 路径完整 4. 文件大小小于max_allowed_packet 5. 当前数据库用户有FILE权限 6. secure_file_priv的值为空,如果值为某目录,那么就只能对该目录的文件进行操作 SELEC
[网络安全学习篇54]:SQL注入
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-29 6476
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学...
SQL注入漏洞测试入门指南
SQL注入漏洞测试入门SQL注入漏洞测试是一种常见的Web应用安全漏洞,通过对用户输入数据的合法性判断不当,攻击者可以 inject恶意 SQL 代码,获取敏感数据或控制服务器。以下是 SQL 注入漏洞测试的相关知识点: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值