【墨者学院】SQL手工注入漏洞测试(MySQL数据库)

于 2024-07-22 17:29:42 发布
阅读量324 收藏 4
点赞数 12
文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/muyuchen110/article/details/140614948
版权
背景介绍:

       安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。

实训目标:

                      1.掌握SQL注入原理;
                      2.了解手工注入的方法;
                      3.了解MySQL的数据结构;
                      4.了解字符串的MD5加解密;

解题方向:

                       手工进行SQL注入测试,获取管理密码登录。

解题步骤:

   1.             开启环境访问网站:124.70.64.48:46950

2.寻找页面参数注入点:

3.发现id参数判断是否存在注入

显然已是存在的:

4.判断有多少列:

5.判断回显点:

6.查看数据库名称:

7.查看数据库下表:

8.查看表中字段:

9.查看字段下信息:

10.发现密码被加密,解密后登录成功发现key:

muyuchen110
关注
  • 12
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院-SQL手工注入漏洞测试(MySQL数据库)
weixin_42939822的博客
03-16 3570
墨者学院-SQL手工注入漏洞测试(MySQL数据库)
墨者学院—— SQL手工注入漏洞测试(MySQL数据库-字符型)
Lollipop_zhi的博客
02-26 2232
1.启动靶场环境,老地方点击 2.看地址栏,合理怀疑是否有注入点 这里插入知识点——怎么判断有注入点? 一般方法: and 1=1 正常 and 1=2 错误 背后的原理是逻辑运算 真且真=真;真且假=假 所以只需要让它能判断出假,就可以合理怀疑存在注入点 比如:id=jhfjkashlk(瞎打的) 改成 id=jhdak 显示异常,有注入点 3.尝试简单使用order by 猜解列名数量,不成功 order by 之后我才判断了单引号闭合,也就是id=tingjigon
sql注入-墨者学院SQL手工注入漏洞测试(MySQL数据库)
m0_75178803的博客
04-15 832
猜解列名字段数(数量) order by x 错误与正常的正常值的的连接点。union select 1,2,3,4 页面正常。回到题目上来,我们在id=1后面随意输入一些东西。order by 4,页面正常。order by 1,网站正常。order by 5,页面错误。文章基于小迪sql注入的复现。页面错误,说明id为注入点。我们即可得知有4个字段数。and 1=1 页面正常。and 1=2 页面错误。
墨者学院SQL手工注入漏洞测试(MySQL数据库)
Lakers248_的博客
05-14 449
解题思路+知识点
墨者靶场SQL手工注入漏洞测试(MySQL数据库-字符型)
zyh1588的博客
11-01 210
小白回顾墨者靶场手工注入
墨者靶场SQL手工注入漏洞测试(MySQL数据库)通关思路
zyh1588的博客
11-01 1244
小白回顾墨者靶场sql手工注入
墨者学院——SQL手工注入漏洞测试(MySQL数据库)》
weixin_47118413的博客
06-21 2370
背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。
SQL手工注入漏洞测试(MySQL数据库-字符型)-墨者
weoptions的博客
12-01 1728
———靶场专栏———分享我的解题过程
墨者学院01 SQL手工注入漏洞测试(MySQL数据库)
weixin_42789937的博客
01-24 471
墨者学院01 SQL手工注入漏洞测试(MySQL数据库),小白友好的SQL实战~
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
WebShell文件上传漏洞分析溯源
02-22
2. 渗透测试:通过渗透测试来检测Web应用程序是否存在文件上传漏洞。 3. 漏洞扫描:使用漏洞扫描工具来检测Web应用程序是否存在文件上传漏洞。 六、WebShell 文件上传漏洞的实践案例 在这个实践案例中,我们使用...
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
墨者未必黑.pdf
12-26
墨者未必黑.pdf
墨者安全专家 v3.7.2.9
03-12
3、墨者漏洞修补 通过全面扫描windows和软件中存在的系统漏洞,一键完成补丁的下载与安装,及时排除系统的安全隐患。 4、墨者保护隐私 及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人...
墨者安全专家 3.7(更新)
11-03
3、墨者漏洞修补 通过全面扫描windows和软件中存在的系统漏洞,一键完成补丁的下载与安装,及时排除系统的安全隐患。 4、墨者保护隐私 及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人...
墨者未必黑——思想汇报 .docx
02-10
墨者未必黑——思想汇报 .docx
墨者安全专家第二代 彻底免疫未知病毒
11-02
3、墨者漏洞修补 通过全面扫描windows和软件中存在的系统漏洞,一键完成补丁的下载与安装,及时排除系统的安全隐患。 4、墨者保护隐私 及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人...
墨者安全专家
07-04
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值