![](https://img-blog.csdnimg.cn/20190927151043371.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
sql注入
sql
kkzz1x
真.新手起步
Java + CPP + Rust(新人),计算机科学热爱者
展开
-
sql注入练习6(堆叠注入)
强网杯2019–随便注(buu)一开始还是从最基本的开始尝试1’ 错1’ or 1=1#正常1’ order by 3#1’ order by 2# 正常,说明2个字段尝试union:1’ union select 1,2#发现常用的关键字都被绕过了,考虑堆叠注入show tables;...原创 2020-06-02 22:53:17 · 326 阅读 · 0 评论 -
sql注入练习5
看一些好文章积累和强化知识嗷,不然分分钟忘记给你看 ><pia!链接 当然这篇文章标题有误,盲注是不给报错信息的,但不妨碍他的内容,学习的是他的尝试思路文章目录SQL混淆写法Less-3 GET - Error based - Single quotes with twist stringSQL混淆写法总结一下,也就是说仅仅靠单引号划水不大行→_→要根据错误提示一步步改进~Less-3 GET - Error based - Single quotes with twist st.原创 2020-06-01 23:49:01 · 156 阅读 · 0 评论 -
sql注入练习4(insert,update,delete)
本次练习来源pikachu平台文章目录检测万能密码类型判断(数字vs字符)数字型注入(post)搜索型注入(like)insert/update型注入delete注入检测单引号 :报错or 1=1# 数字型’ or 1=1# 字符型用引号闭合,同时加注释符号and 1=1 数字型 and 1=1与原来一样,不用注释掉后面了and 1=2 数字型 错误’ or 1=1#order by找数据数量等…之后再补充一些常用的,比如绕过waf等万能密码万能密码是由于某些程序,通过采用判断原创 2020-06-01 23:17:05 · 349 阅读 · 0 评论 -
sql注入练习3(二次注入)
这个注入还挺有意思~~原理:比如在注册的地方。。。对用户输入进行了转义,用户注册了一个admin' -- -(无法注入了) 但是把它直接插入了sql中,取出来的时候仍能用admin登录举个栗子:更新密码语句:update users set password='test' where username='admin' -- -'似乎要改变的是admin’ – - 账户的密码,实际上改了admin账户的密码如果我知道username是admin的话,我就可以尝试一下二次注入拿下密码了sqli原创 2020-05-30 23:06:55 · 521 阅读 · 0 评论 -
sql注入练习2(宽字节)
文章为自我记录,相关原理还是得自己查呀利用场景: 网站对客户端输入(传入的参数)的引号等字符进行了转义(转义之后这些符号就无效了,这些符号也不会成为代码的一部分了,你原先的注入就无效了)网站数据库采用了gbk编码gbk是双字节编码,ascii为单字节编码,所以宽字节注入的思路也就产生了—加入%df 这样的编码,让系统转义加入的""符号被吃掉,这样的话就留下了你需要的单引号 ' 所以又可以按照原来的方法注入了举个栗子:传入参数id=1' or 1=1--+ 进行试探失败:id=1\' o.原创 2020-05-30 15:39:05 · 294 阅读 · 0 评论 -
sql注入练习1(XPath报错)
文章为自我记录,相关原理还是得自己查呀前置知识xpathXPath 使用路径表达式在 XML 文档中选取节点。节点是通过沿着路径或者 step 来选取的。下面列出了最有用的路径表达式:表达式描述nodename选取此节点的所有子节点。/从根节点选取。//从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。.选取当前节点。…选取当前节点的父节点。@选取属性。实例在下面的表格中,我们已列出了一些路径表达式以及表达式的结果:.原创 2020-05-29 16:36:29 · 629 阅读 · 0 评论 -
sql注入入门[逃]
(dvwa low级 真的只是入门)之前某教程扫到的两个网页最近发现都打不开了嘤嘤嘤 那就用dvwa叭!菜鸟记录一下><补作业&&沉迷线代所以好久没学dvwa sql injection (low)step1:检测注入点’ 报错and 1=1 正常and 1=2 报错可以判断大概率有注入点step2:用order by 来找字段长度order by 3...原创 2020-04-04 00:11:58 · 154 阅读 · 0 评论