通过SQL注入拿到管理员密码

最新推荐文章于 2023-06-19 15:15:10 发布
最新推荐文章于 2023-06-19 15:15:10 发布
阅读量4k 收藏 3
点赞数
文章标签: sql web安全 安全
本文链接:https://blog.csdn.net/qq_52337463/article/details/122491605
版权

 该靶场来自于(封神台封神台 - 掌控安全在线演练靶场,是一个在线黑客攻防演练平台。

首先我们看下题目

题目是通过SQL注入拿到管理员后台密码

我们先点开"传送门"打开靶场

靶场已经打开了,我们先点"点击查看新闻"打开页面

 看起来没啥有用的信息但是别慌,我们先进行SQL注入

在URL中***/?id=1 后面写命令进行注入

and 1=2 union select 1,concat(username,',',password) from admin

 这里的admin是搜素admin项

在图片下面数据库的内容已经出来了

管理后台账号名是"user"

密码是"hellohack"

我们为了验证准不准确进行提交flag

在这里系统只要求我们提交密码就行,所以我们只提交密码

 出现这个页面说明我们的实验成功了

如需转载,请务必标注原作者

作者QQ:3369308571

Pakzat24
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web渗/透/攻/击实战(1)—成功渗/透台湾某净化设备公司官网
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
01-08 1398
写在前面 作为一个防御型白帽黑客​ 你一定要知道黑客的进攻套路 才能有相应的防御措施 声明:只做测试,发现对方的漏洞,并不进行破坏性操作 1、 网站分析 地址:http://www.xxx.com.tw/ 这是一家中国台湾地区的网站,看着满屏的繁体字,就不是很舒服 网站首页包括:关于我们、资料下载、联络方式等等。 这些对我们进行sql注入用处并不大 我们需要的是可以进行参数传入的页面,这样我们就可以在参数里做文章 找一下 有没有新闻列表相关的页面 页...
SQL注入之万能密码.docx
06-04
什么是sql注入万能密码?用的语法是什么?用万能密码可以判断网站是否存在注入漏洞,在渗透测试中非常有用
sql注入获取网站后台管理员账号与密码
longanquan的博客
07-27 1万+
利用联合查询获取cms 网站后台管理员帐密 环境介绍 物理机:Firefox浏览器(上加入hackbar插件) win2008虚拟机:搭建有cms网站(不会搭建的可以看我前面的博客) 判断网站是否存在sql注入漏洞 我们用物理机的Firefox浏览器访问虚拟机上的cms网站,F12打开开发者工具,在后面可以看到hackbar工具,点到该工具窗口。 首先我们先用最简单的方法判断是否存在漏洞。我们需要把地址框中的内容复制到hackbar框中,更改id的值,如果数据库中的内容回显到网页中,说明存在漏洞。 很
利用SQL注入漏洞登录后台
zxcvbnmasdflzl的博客
06-19 1万+
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
【安全】【SQL注入漏洞】通过sql注入获取数据库管理员密码
little_stupid_child的专栏
01-21 7512
本博客中使用封神台靶标系统进行演示,靶标系统网站。 一、判断网站是否存在sql注入漏洞 1.在地址栏写入?id=1 and 1=1,回车 页面返回正常。 2.在地址栏写入?id=1 and 1=2,回车 页面返回异常,这里可能存在sql注入漏洞。 二、判断字段数 1.在地址栏写入?id=1 and 1=1 order by 3 页面返回异常,表的字段数小于3 2.在地址栏写入?id=1 and 1=1 order by 2 页面返回正常,说明表的字段数为2。 三、获取回显点 在地址栏写入?id=1
利用sqlmap注入获取网址管理员账号密码
WINDY_PACE的博客
04-21 6409
sqlmap 靶场的攻击注入利用。
Web安全 SQL注入漏洞 工具测试.
网络安全领域___专研者.
02-13 6909
SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入万能密码
05-19
sql注入万能密码 全部的万能代码 如"or "a"="a 等等很多
SQL 注入天书.pdf
08-06
SQL 注入学习天书
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:可以看到除了账号密码之外
qq_24884955的博客
04-13 1万+
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:
SQL注入——通过注入得到已知用户名的密码
热门推荐
以梦为马,不负韶华
12-08 2万+
· PHP代码如下: <?php //error_reporting(0); $link =mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQL: ' .mysqli_connect_error()); } $link->se
SQL注入实战---利用“dbo”获得SQL管理权限和系统权限
巅峰测试
08-03 1111
在一个供求信息发布的网站上测试了一下,页面http://www.xxx.com/new/new.asp?id=49我做了如下测试:(1) http://www.xxx.com/new/new.asp?id=49’Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14[Microsoft][ODBC Microsoft Access Dri
通过SQL注入获得网站后台用户密码
weixin_43387647的博客
05-21 6222
文章目录实验目的实验准备实验内容意外情况SQL注入的详细步骤1. 验证存在SQL注入漏洞2. 接下来可以猜测表名3. 接下来猜测表中字段4. 接下来确定用户名的长度5. 接下来确定用户名6. 确定用户名对应的密码防范SQL注入的方案1.代码层面2. 网络层面 实验目的 通过 SQL 注入攻击,掌握网站的工作机制,认识到 SQL 注入攻击的防范措施,加强对 Web 攻击的防范。 实验准备 (1)了解网站的运行机制和原理。 (2)了解 asp、php、jsp 或者 asp.net 语言的工作原理。 (3)熟悉数
一次简单的通过sql注入获取目标用户名和密码的流程
slismy的博客
10-04 1350
靶场环境:封神台 第一步 http://59.63.200.79:8003/?id=2-1 验证注入点存在 第二步 http://59.63.200.79:8003/?id=1 order by 1/2/… 查询到长度为2 第三步 http://59.63.200.79:8003/?id=9.99 union select 1,2 验证数据返回点,返回值为2 第四步 http://59.63.200.79:8003/?id=9.99 union select 1,database() 查询到库名为maosh
致远oa怎样通过sql注入获得密码
最新发布
07-27
SQL注入是一种常见的Web安全漏洞,攻击者通过注入恶意的SQL代码,从而绕过应用程序的输入验证,获取或篡改数据库中的数据。然而,对于致远OA这样的商业级系统,一般来说,开发团队应该会采取一系列的措施来防止SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值