Sql注入实例

最新推荐文章于 2024-05-16 02:47:32 发布
最新推荐文章于 2024-05-16 02:47:32 发布
阅读量1.8k 收藏 18
点赞数 5
分类专栏: 安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38130747/article/details/103916530
版权
一,靶场环境
  • 目标网站:http://172.16.43.117:8011/
  • 工具:椰树V1.9-web安全扫描工具 (最后附上网盘链接)
二,使用工具查找注入点
  • 1,将url链接放入工具中,点击扫描网站,并且等状态栏为done时,扫描完成,发现2个注入点

在这里插入图片描述

三,进行注入

  • 1,在刚刚发现的注入点上右击鼠标,选择第二项进行注入
    在这里插入图片描述

  • 2,跳转过后,打开数据库选项卡,看到数据库Test_EIMS

在这里插入图片描述

  • 3,选定数据库,依次打开表名,找到eims_User即为存储用户名和密码的表,选择所有字段,获取数据

在这里插入图片描述

  • 4,Item2即为密码,可知为MD5编码,使用MD5解码工具解码

  • 5,复制admin用户的MD5密码,进行解码,解码的结果为043817a99)

在这里插入图片描述

  • 使用御剑工具扫描的登录目录为http://172.16.43.117:8011/admin/login.asp

  • 使用上述账户名密码登录,即可登录成功

在这里插入图片描述

  • sql注入完成

工具链接

链接:https://pan.baidu.com/s/1I33LnPhLNOix14KhEi2plQ 提取码:nn1k
风澜舞
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入实验详细过程及讲解
2302_78587828的博客
08-14 2258
SQL 注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
椰树web漏洞扫描器椰树web漏洞扫描器
08-06
椰树web漏洞扫描器
Sql注入示例
我想我是海 冬天的大海 心情随风轻摆
05-19 1240
Sql注入是我们经常听说的,具体极大的风险性,下面给一个比较直观的示例:
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定
最新发布
2401_84968222的博客
05-16 788
使用right()突破字符限制得到后一段flag值b-403a-8062-80f219ca1c30}好了大家已经明显看到了^和()绕过不同限制的区别那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)使用right()突破字符限制原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773。
sql各种注入案例
m0_69435261的博客
09-01 4884
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集)GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。GTID_SUBSET函数。
sql注入实例
weixin_45901902的博客
11-11 4763
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:“早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题”,先暂不评价此说法对错,如此冷淡的反应只能说明了对SQL注入的无知,今天就通过这个实例来告诉大家SQL注入究竟有多大的危害。 初步注入--绕过验证,直接登录 公司网站登陆框如下: 可以看到除了账号密码之外,还有一个公司名的输入框,根据输入框的形式不难推出SQL的写法如下: 1 SELECT*FromTableWHEREName...
SQL注入实例讲解
03-29
在这个“SQL注入实例讲解”中,我们将深入探讨这一话题,了解其工作原理,以及如何防范。 首先,让我们理解SQL注入的基本概念。在Web应用中,当用户的数据与数据库交互时,如果程序直接将用户的输入拼接到SQL查询中...
sql注入实例--安全等级
12-26
使用WebGoat,根据提示信息 ,完成包括Injection Flaw大类下的String SQL注入,Numeric SQL注入,Log Spoofing,XPATH Injection等安全弱点的攻击测试。
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
Mybatis防止sql注入实例
08-30
Mybatis防止sql注入实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
渗透入侵\椰树1.9.zip
07-15
椰树1.9
椰树1.7 扫漏洞工具
07-18
收集了最新漏洞,是工具小子扫漏洞必备好软件。
SQL注入案例演示与防范措施大全
热门推荐
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
SQL注入案例及原理
QYbkx974的博客
11-06 623
updatexml(1,concat(0x5e,(select username from cms_users limit 0,1),0x5e),1)//查询username表中第一个用户名。使用bp抓包查看,可以发现登录包为POST请求,而且可以看到我们刚刚输入的用户名和密码,以及请求回显为200。使用bp抓包查看,POST请求包中输入的用户名所包含的特殊字符变成了URL编码,%27为。查询cms_users表的信息,发现有两个用户,这里显示的是第一个用户。所获取的是数字类型,不是字符串类型。
关于sql注入这一篇就够了(适合入门)
qq_53105813的博客
01-07 4916
sql注入详解
一文带你学习SQL注入
大河之犬的博客
12-21 5611
但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。下面是一个在Java中调用存储过程的例子,其中。
SQL注入各种注入原理|绕过技巧|带实例详解|
BING
03-19 7799
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击、SQL注入绕过技术、sql注入修复建议
SQL注入漏洞原理及注入示例
m0_62480631的博客
03-10 1980
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询等操作。用户可以修改参数或数据,传递给服务端,导致服务端拼接了伪造的SQL查询语句,并将伪造的SQL语句发送给数据库服务端执行,数据库将SQL语句的执行结果,返回给服务端,服务端又将结果返回给客户端,从而获取到敏感信息,甚至危险的代码或系统指令。
sql注入-0629-田靖宇-17130105521
08-08
SQL注入是一种常见的安全漏洞,通过在输入参数中注入恶意的SQL代码,攻击者可以实现对数据库的非法访问和控制。在这个案例中,我们以一个简单的SQL注入示例来说明攻击的过程和步骤。这个示例来自于0629-田靖宇-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值