为什么sql注入的时候会写union select 1,2~~~~~from admin

18人阅读 评论(0) 收藏 举报

我也是最近好奇才去学了一点web渗透的知识。

在这之前还是需要一定的数据库的相关知识。这里假设知道当前表有多少列(这里设置为10),也可以直接通过order by直接测试出来。

union 是联和查询的一个关键字,这个有一个前提就是必须满足所有的列是相同的,所以在这前面必须要添加一些没有意义的列来作为填充。

这里给一个网站大家可以去看看,我忘记是在哪里看到了,反正可以用。

http://www.joesd.com/Jody/product_show.asp?action=common&ID=47 union select 1, 2, 3,4, 5, 6, 7,8, 9, adminuser ,11 from adminuser。这里没有给出密码在哪,自己测试就知道了。

最后得到的密码拿到MD5在线网站转一下就好了。这里只是学习,没有什么其他的用途。

查看评论

sql注入详解

什么是sql注入 Sql注入是一种将sql代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。由于sql语句本身多样性,以及可用于构造的sql语句...
  • S_Sorin
  • S_Sorin
  • 2016年08月10日 16:20
  • 3121

sql注入绕过union select过滤

#WAF Bypassing Strings: /*!%55NiOn*/ /*!%53eLEct*/ %55nion(%53elect 1,2,3)-- - +union+disti...
  • ncafei
  • ncafei
  • 2017年03月12日 22:17
  • 3451

简单的sql注入WP

这题比较简单,我们就直接手工注入了 这里给大家推荐一个火狐插件hackbar,在做web题的时候还是挺好用的 下面开始介绍手工的流程:1)输入1,提交,不报错 2)输入1‘,提交,报错,判断存在...
  • yalecaltech
  • yalecaltech
  • 2017年03月19日 21:34
  • 607

SQL注入整合

Access数据库注入: 1.Access数据库联合查询方式注入 判断表名: ?id=1 and (select count(*) from admin)>0和?id=1 and exists(sel...
  • Liuhuaijin
  • Liuhuaijin
  • 2017年09月12日 19:05
  • 191

实验吧 web题--注入类

1、登陆一下好吗 SQL语句:select * from user where username='用户名' and password='密码' 尝试1'='1并没有得到flag,因为表中没有us...
  • yisosooo
  • yisosooo
  • 2017年09月06日 16:56
  • 129

sql注入总结

下面是一些注入点  http://www.fhmgs.com/shownewview.asp?actionid=657 http://www.fhmgs.com/index.asp首页 ...
  • wljlwyq
  • wljlwyq
  • 2014年10月06日 18:23
  • 1030

变态方法突破过滤UNION+SELECT继续注入

http://www.jb51.net/article/48933.htm   前几今天遇到一个bt 的老外注射点:     //*ps 此点目前流行的注射工具射不 *// ...
  • ncafei
  • ncafei
  • 2016年11月27日 11:01
  • 4054

sql注入详解1

sql注入   所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL...
  • lihe460186709
  • lihe460186709
  • 2016年09月06日 11:53
  • 1457

不支持union select 时的asp手工注入方法

首先看一个简单的站点 这种站点, 一眼看了, 都是有漏洞的多。 上面的站, 是支持union select 注入的。 但这里说的是不支持union select 注入的情况, 所...
  • hope_smile
  • hope_smile
  • 2015年06月10日 03:31
  • 1471

【转】MySql注入科普

转载自:http://ourmysql.com/archives/1244?f=wb 默认存在的数据库: mysql 需要root权限读取 inform...
  • linglongwunv
  • linglongwunv
  • 2013年11月06日 10:55
  • 2252
    个人资料
    等级:
    访问量: 2万+
    积分: 1402
    排名: 3万+