一次sql注入攻击

最新推荐文章于 2024-05-23 16:17:43 发布
最新推荐文章于 2024-05-23 16:17:43 发布
阅读量514 收藏 1
点赞数 1
分类专栏: 测试实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33020901/article/details/51970280
版权

喜欢学习 ,但是不想找漏洞 ,好麻烦 ,还不一定有一个漏洞 ......

如果文章有什么违规的行为 ,请及时告诉我 ,然后会及时删除本文章 ....

网站是我在google上搜到的 ,网站画面看着高大上 ~~~


一个页面一个页面的找,寻找有输入参数的地方,然后进行测试 ,本来我以为没有注入的时候

突然 ,看到了一小句话 ...


Wow~ 有报错信息 ,可以进行报错注入~~

想着可以提交乌云了 ~~  然后先 order by 测试下有几个字段

页面返回正常 ,说明至少有 4 个字段 ,然后继续增加 ,测试是否有 5 个字段

页面报错 ,说明字段数是 5 是错误的 ,那么字段数就是 4 ( 当然,之前我用折半法测试过字段数 ,所以两张图省事 ... )

然后,注入获取下版本号 ,看下构造的sql语句可以执行不

这里版本号在 ::: (版本号):::   即 5.6.15

剩下的就有点坑了 ,因为sqlmap 跑的时候 跑不出来,然后以前写过一个报错注入的python 脚本

直接拿过来用 ,擦 ,各种报错 ,第一次感觉自己写的脚本太脆弱,根本经不起实际运用

然后就是各种修改 ,还好能跑了 ........

晒一下得到的东西



本来 这个网站看着个高大上 ,想提交乌云 ,可是跑过表发现 ,擦 ,里边就几十条数据

而且没有网站管理员的密码 ,算了 ,就当一次自娱自乐好了

PD_3569
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RFID系统中两阶段规则的SQL注入攻击防御
10-17
SQL注入攻击是RFID系统的一个重要攻击方式,RFID系统的吞吐量较大,因此其防御方案应具有较高的计算效率,对此提出一种基于两阶段规则的SQL注入攻击防御方案。首先,按照合法数据域建立合法规则库;然后,对RFID标签...
使用Python防止SQL注入攻击的实现示例
01-20
在所有注入类型中,SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的 那么在写这篇文章的时候我也是查询了国内...
sql注入自动化脚本POST和GET型
m0_73728268的博客
03-09 325
post和get型sql注入自动化脚本
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1343
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入
手把手教你用Python轻松玩转SQL注入
最新发布
菜鸟学识的博客
05-23 1174
大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。总的来说,SQL注入无非就是一段艰难险阻的路程,你可以发现但是别人也可以防御,虽然你发现要比较久的时间,但是人家防御却是很轻松,个人觉得得不偿失,不建议大家深入了解,只是做个简单的介绍了解下就好,至少你搜索技能因此而提高了不少吧。
python sql注入脚本_python打造一个分析网站SQL注入的脚本
weixin_39546312的博客
02-09 110
1 importrequests,re,time,os2 from tqdm importtqdm3 from bs4 importBeautifulSoup4 defzhuru():5 globalx,headers,ps6 user=input('[+]Please enter the URL you want to test:') #用户输入要检测的网站7 url="...
sql注入系列课程
10-14
本课程是sql注入系列课程,从最基础的sql注入语法讲起,里面包含常见数据库sql注入方法,及各种类型的sql注入,通过sql注入直接获取服务器权限等攻击方法及演示。
记录一次对某网站的sql注入
weixin_67503304的博客
09-16 3592
讲解了一次基本sql注入的实战讲解,针对某省某网站的实战测试,本测试仅用于演示。
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
一种二阶SQL注入攻击防御方法.pdf
09-19
一种二阶SQL注入攻击防御方法 SQL 注入攻击已经成为 Web 应用程序最大的安全威胁。二阶 SQL 注入危害性大,注入点隐秘性高,注入过程复杂,不易检测。为防御二阶 SQL 注入,提出了一种基于代理服务器的防御方法。...
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 6026
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞的演示过程。
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
sql注入程序(python2.7+pyqt4.8.5)
03-10
包含程序,还有两个jsp的测试网站(MSSQL、MySQL),程序带有详细的注释。
一次对真实网站的SQL注入实战
qq_43678263的博客
03-31 4948
一次对真实网站的SQL注入实战前言发现过程漏洞利用总结 前言 某集团股份有限公司网站存在SQL注入漏洞 发现过程 用针对性工具扫描(这里使用的是超级SQL注入工具)问题网站,得到以下链接均存在SQL注入漏洞 问题URL: fuwu_fanwei.php?fid=1 fuwu_zhichi.php?zid=5 video.php?video_id=1 news.php?nid=1 about.php?aid=1 fuwu_fanwei_content.php?fid=1&id=1 漏洞利用 这里使
完成一次简单的 SQL 注入
wujiandao的专栏
09-03 458
先来看几起 SQL 注入的安全事件: Joomla 对象注入漏洞 事件概述:2015年10月29日国外知名CMS(内容管理系统)Joomla,爆出存在SQL注入漏洞,该漏洞影响了 1.5 到 3.4.5 的所有版本,漏洞利用无须登录,直接在前台即可执行任意PHP代码。这个漏洞在libraries/joomla/sesion/sesion...
SQL注入攻击:攻与防
weixin_33929309的博客
09-13 109
攻:1. 获取数据库的结构信息: 攻击者要成功实施一次攻击,需要了解哪个表和列可用。SQL Server默认的行为是,当不正确查询运行时返回错误消息。例如攻击者输入用户名:“'having 1=1;--”,数据库将返回包含表名和代码查询中第一列的错误消息;而group by语句可以更进一步确定查询中的列:“'group by 表名.列名 havin...
SQL 注入攻击
icy_xm的专栏
01-13 884
一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创
sql注入攻击
gaisidewangzhan1的博客
05-15 748
转载::常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOSSQL注入产生的原因,和栈溢出、XSS等很多其他的攻击方法类似,就是未经检查或者未经充分检查的用户输入数据,意外变成了代码被执行。也就是,SQL注入是用户输入的数据,在拼接SQL语句的过...
哪些情况可能会出现二阶sql注入攻击
06-02
二阶SQL注入攻击是指攻击者通过一次SQL注入攻击成功地将恶意代码插入到了目标网站的数据库中,然后等待管理员在后续操作中执行了包含了恶意代码的SQL语句,从而导致数据库被进一步攻击的情况。 以下是可能出现二阶...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值