sql数字型注入-东塔靶场

已于 2022-03-26 16:04:33 修改
阅读量5.3k 收藏 1
点赞数 1
文章标签: web安全
于 2022-03-26 16:03:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27846373/article/details/123756781
版权

超级简单,非常适合新手找信心
环境及准备:
vmvare安装kali2018,没有2018其他版本kali也行
kali自带的sqlmap
靶场:东塔靶场数字型注入,免费使用的噢,注册一个账号就行

在这里插入图片描述
https://labs.do-ta.com/index/course/index?one=15&two=17&three=0&level=0&other=-1&title=
首先打开linux的终端,输入sqlmap就可以启动sqlmap.
在这里插入图片描述
然后首先打开靶场:
在这里插入图片描述
获取url后可以通过sqlmap进行注入点查询。
查询的

最低0.47元/天 解锁文章
一点也不咸
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 数字注入_SQL数字型注入(mysql数据库)
weixin_33196555的博客
01-19 558
好像并没有什么特别的东西。用工具进行全站扫描,查看是否有其他页面存在。结果我们一共扫出了三个页面,一个静态页面,两个动态页面。排除静态页面,login.php是我们刚刚看见的后台登陆页面,我们打开这个new_list.php看看。结果我们可以发现,一片空白,也就是说我们在向服务器请求获取页面的时候,页面没有获取成功,也就是差参数。盲猜试试id=1,这个时候发现页面正常显示了。猜测该注入是数字型的注...
CVE-2020-11890:CVE-2020-11890
03-10
香港制造 CVE-2020-11890:用户组表类中的输入验证不正确可能会导致RCE的ACL配置损坏 关联 PoC 受影响的版本:3.9.17之前的Joomla核心 用户要求:管理员帐户(非超级管理员) 获得访问权限:创建一个新的超级管理员...
东塔靶场SQL注入之get注入1
weixin_51646864的博客
09-12 1552
1、点开链接进入靶场 2、直接sqlmap拖库:sqlmap -u http://120.25.24.45:30833/index.php?user=harry --current-db 得到数据库名为"dotaxueyuan" 3、看一下这个库的表:sqlmap -u http://120.25.24.45:30833/index.php?user=harry -D dotaxueyuan --tables 发现里面有key和users两个表 3、猜测通关的key藏在key表中,查看该表的列 sql
渗透测试练习靶场汇总
最新发布
2401_84215240的博客
05-22 1201
Vulfocus 官网:在线演示:2.BUUCTF在线评测writeup文章:https://github.com/niudaii/my-vulstack-wphttps: //接下来我将给各位同学划分一张学习计划表!
pikachu靶场练习——数字型注入
tyelixy的博客
08-09 1407
burpsuite未安装完成,不涉及抓包相关内容 前置内容 由于网页的生成有时需要用到用户输入的信息,再根据用户输入到数据库中查找相关内容,所以网页中会含有sql语句。针对sql语句,可以进行sql注入。 如: $sql="SELECT * FROM news WHERE id={$id}"; 这样的语句可以进行数字型注入。 题目实战 打开靶场,选择sql数字型注入题,出现以下页面。 下拉栏中有选项 ---以及数字1~6。 选择数字一先发送个请求试试: 可以看到发送的表单中id:1 然后发现可以在检.
iwebsec靶场 SQL注入漏洞通关笔记1- 数字型注入
mooyuan的博客
11-25 2195
iwebsec靶场SQL注入关卡共13关SQL注入漏洞,覆盖了数字型注入、字符型注入、报错型盲注、布尔型盲注、时间型盲注以及各种过滤绕过的注入,外加上二次注入,是SQL注入知识点覆盖较为全面的一个靶场SQL注入主要分析几个内容(1)闭合方式是什么?iwebsec的第一关关卡为数字型,无闭合(2)注入类别是什么?这部分是普通的数字型注入,使用union法即可注入成功(3)是否过滤了关键字?很明显通过源码,iwebsec的数字型关卡无过滤任何信息。
pikachu-数字型注入-sqlmap
bangyan3903的博客
08-12 600
题目链接:http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php 题目来源:pikachu-->SQL-inject-->数字型注入(post) 任意提交数据,使用bp抓包得到post方式提交的参数为 id=1&submit=%E6%9F%A5%E8%AF%A2 使用sqlmap跑post方式时的格式...
交通安全班会课设计ppt-灵武市东塔学校网站首页.pptx
09-26
交通安全班会课设计ppt-灵武市东塔学校网站首页.pptx
非光学太阳能跟踪器(东塔2.4KW)-项目开发
03-30
在"东塔2.4KW"项目中,这种跟踪器的设计目的是提高太阳能发电系统的功率输出,减少因阳光直射角度不佳导致的能量损失。 该项目的核心在于计算太阳在地球上的位置,这是通过使用天文学算法实现的。这些算法通常考虑...
大桥东塔桩基冻结法施工技术.docx
12-04
大桥东塔桩基冻结法施工技术
应用BIM技术提升广州东塔项目总包管理水平(杨玮).pptx
09-22
【BIM技术应用在超高层项目...总的来说,应用BIM技术提升了广州东塔项目总包管理的效率和精确度,解决了超高层项目管理中的一系列难题,实现了技术与经济管理的数字化转型,优化了资源分配,降低了潜在的风险和成本。
N6-SQL注入(数字型)
尐猴子君ii的博客
03-31 1323
今天猴子君要和大家探讨的是SQL注入部分的数字型的注入过程。 首先运行pikachu的测试环境,找到SQL-Inject章节的数字型注入(post)。 先进行第一次试探,查看一下运行的原理。发现这是一个基于SQL数据库搜索的端口,输入一个数字ID,返回一个邮箱地址。 很明显,这个是一个与数据库连接的端口,应用搜索语句的文本框。这时候,我们就要猜测一下这个数据库的语句是怎样的。 数据库搜索语句为...
pikachu靶场SQL注入
山己见的博客
06-13 1559
pikachu靶场SQL注入(1-3) 1.数字型注入 看题目知道了第一题是数字型注入,下拉框选择,抓个包试试,看来是post,这里我用的是burp。 方便测试,放到repeater里面。 先试一试出列表1 or 1 --+,出结果了。 order by试出来了是2,然后是union select看回显。 然后按流程来,查库,查表,查字段。 select group_concat(schema_name) from information_schema.schemata select group_c
sql注入-不同数据类型注入
xiaoheizi的博客
06-28 314
原因是程序员为了防止SQL注入,就会调用几种转义函数,将单引号或双引号进行转义操作,转义无非便是在单或双引号前加上斜杠(\)进行转义 ,但这样并非安全,因为数据库使用的是宽字节编码,两个连在一起的字符会被当做是一个汉字,而在PHP使用的UTF8编码则认为是两个独立的字符,如果我们在单或双引号前添加一个字符,使其和斜杠(\)组合被当作一个汉字,从而保留单或双引号,使其发挥应有的作用。可以发现就算闭合了【''】依然无法注入成功,是因为我们输入的【'】被在前加上斜杠(\)进行了转义,无法发挥作用。
Pikachu靶场-SQL-Inject
自强不息
12-29 556
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
sql注入(字符型和数字型)
qq_75005708的博客
04-08 2405
id=1%' and 1=1--+/#和?id=1%' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1' and 1=1--+/#和?id=1' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。
Pikachu用sqlmap注入实战---数字型注入
永不垂头的博客
08-06 987
Pikachu用sqlmap注入实战—数字型注入 笔者这里以数字型注入为例进行详细展示: ①任意提交数据,使用bp抓包得到post方式提交的参数为 id=1&submit=%E6%9F%A5%E8%AF%A2 使用sqlmap跑post方式时的格式:python2 sqlmap.py -u “” --data="<post提交的参数>" -<参数> 使用sqlmap跑数据库 sqlmap.py -u “http://127.0.0.1/pikachu-master/vul/
SQL注入原理-数值型注入
T1ngSh0w的博客
09-12 1534
SQL注入原理-数值型注入
SQL注入之数字型注入实战案例详解
weixin_39096432的博客
12-15 1423
SQL注入之数字型注入实战案例详解 ———— 97℃oldboy SQL注入种类多种多样,此文将通过一个实例详细讲解数字型注入。 在我们拿到一个网页时,首先判断它是否存在注入漏洞最简单粗暴的方法就是在参数后面加一个单引号,如果网页报错,那么说明有可能存在注入漏洞了。请看下面的网页操作: 上面是一个正常的网页,我们先检测网页是否有参数,在网址后面加上:?id=1 即http://192.168.114.147/sqli-labs-master/Less
安全文明监理实施细则1_工程施工土建监理资料建筑监理工作规划方案报告_监理实施细则.doc
08-08
根据提供的内容,广州东塔项目是位于珠江新城CBD中心地段的工程项目,总用地面积约为2.6万平方米,包括主屋、裙楼和4层地下室。该项目一期是土方开挖及基坑围护工程,为了确保工程的安全文明施工,广州珠江工程建设...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值