![](https://img-blog.csdnimg.cn/20190918140213434.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
SQL 注入
SQL Inject
NowSec
首先我没用过,但是教程说很简单,你不会就是你垃圾
展开
-
DVWA_SQL_Injection_Blind_medium
1.判断注入点 通过and 1=1判断注入点是否存在 2.猜解数据库名长度 3.猜解数据库名 通过ASCII对照表第一个字符为d 第二个字符为v 第三个字符为w 第四个字符为a 数据库名为dvwa 4.猜解数据库中表的数量 可以看出数据库中有两个表 5.猜解第一张表的长度 第一张表名长度为9 6.猜解第一张...原创 2020-01-09 00:09:20 · 435 阅读 · 0 评论 -
SQL Injection_medium
1.打开网页进行数据提交发现是POST方式,后面就使用Hackbar进行提交数据 2.使用and 1=1进行判断,发现我们提交的SQL语句被带入数据库执行,说明存在注入点 3.判断列数 使用order by对数据库钟表的列数进行判断,经过测试后可以看出表钟有两列数据 4.判断显示位 是哦那个union select进行判断,我们可以看出1,2都有显示 ...原创 2019-12-04 23:54:31 · 262 阅读 · 0 评论 -
3-sqlmap_设置性能优化
1.SQLMAP设置持久HTTP连接 SQLMAP中可以设置连接为持久连接。HTTP报文中谁Connection:Keep-Alive 参数:--keep-alive 2.SQLMAP设置不接收HTTP body SQLMAP中设置空连接,表示不接受HTTP当中的Body。常用在盲注的过程。 参数:--null-connection 3.SQLMAP设置多线程 SQLMA...原创 2019-11-02 16:00:35 · 1363 阅读 · 2 评论 -
SQLMAP入门(二)——sqlmap_HTTP_参数设置
1.SQLMAP设置HTTP方法 Sqlmap会自动在探测过程中使用适合的HTTP 请求方法。但是在某些情况下,需要强制使用具体的HTTP请求方法。例如PUT请求方法。HTTP PUT请求方法不会自动使用,因此需要强制指定。使用 –method=PUT 2.SQLMAP设置POST提交参数 默认情况下,用于执行HTTP请求的HTTP方法时GET,但是可以通过提供在POS...原创 2019-10-26 17:46:59 · 1358 阅读 · 0 评论 -
Page_1_Less_1
1.判断注入点 回显正常 报错,说明存在注入点 2.求列数 不存在5列 不存在4列 回显正常说明表中有三列数据 3.求显示位 显示位为2,3 4.查看数据库名和连接数据库用户 5.求表名 可以看到数据库中有4张表 6.求列名 7.查找表中数据 通过...原创 2019-10-25 11:09:04 · 130 阅读 · 0 评论 -
Sqlli_Lab_Page_1_Less_2
1.找注入点 正常显示 正常显示 显示异常,说明存在诸如点 2.求列数 不存在 判断出列数为3列 3.求显示位 没有报错显示,再1前面加一个-再次尝试 显示位为2,3 4.查看库名,连接数据库的用户等信息 5.求表名 6.求列名 7.拖库 ...原创 2019-10-21 21:20:10 · 473 阅读 · 0 评论 -
Sqlmap入门(一)
1.查看SQLMAP版本 语句: kali:sqlmap --version Windows:python sqlmap.exe --version 2.查看帮助信息 语句: kali:sqlmap -h 注:sqlmap -h显示简要帮助,sqlmap -hh显示高级帮助 3.SQLMAP直连数据库 SQLMAP支持直连数据库,可以通过以下命令来实现直连 服务器数据库(前提需...原创 2019-10-06 15:23:00 · 259 阅读 · 0 评论 -
DVWA_SQL Injection(low)
一、手注 1.判断是否存在SQL注入漏洞及类型 2.求判断列数 3.求显示位 3.表库名,用户名等信息 4.爆表名 5.爆列名 6.拖库 7.结果验证 二、sqlmap注入 1.查找数据库用户,数据库库名 语句: sqlmap-u"http://192.168.126.147/DVWA-master/v...原创 2019-10-10 11:40:00 · 152 阅读 · 0 评论 -
SQL Injection (Blind)_low
1.判断注入类型 http://192.168.126.147/DVWA-master/vulnerabilities/sqli_blind/?id=1 --+&Submit=Submit# 显示存在 http://192.168.126.147/DVWA-master/vulnerabilities/sqli_blind/?id=a --+&Submit=Submi...原创 2019-10-10 17:32:09 · 260 阅读 · 0 评论