Dvwa之SQL 注入全级别学习笔记

已于 2022-09-16 14:25:54 修改
阅读量1k 收藏 7
点赞数 2
分类专栏: dvwa学习笔记 文章标签: 数据库 学习 web安全 sql 网络安全
于 2022-09-15 23:21:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52819300/article/details/126881063
版权

SQL注入 

SQL注入指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过不同的条件产生不同的SQL语句,这是学习dvwa的sql注入的相关笔记。仅供学习。参考的博客

DVWA全级别通关教程_JF_Adm0616的博客-CSDN博客_dvwa

mysql中Illegal mix of collations for operation “UNION”错误的解决方法_wkj001的博客-CSDN博客

Low级别:

系统没有做任何防护,可以直接进行注入

判断注入类型

输入 1正常显示但无法区分注入点类型

f2e73b1cca814799bdc8d72172377fe6.png

输入 2

131f1afd3701488c90f4f8d2600ef70d.png

再输入1+1

无返回结果,因为如果是数字型注入id=1+1,则会显示id为2的信息,字符型就会搜索id=’1+1’的数据。因为这个注入点没有返回数据2的内容,所以为字符型注入漏洞。

807c8280257a4f9b8bd1de48544686d0.png

输入1’ and 1=1提示错误,输入1’ and 1=1#显示正常说明存在单引号,在注入时需要闭合或者注释掉单引号(在语句后面加#)。

fd94c280bc8149f789c6e83b5d87d228.png

查询字段长

1’ order by 1#

023d34c55ad447d696b56bf584f67e10.png

1’ order by 2#

1’ order by 3#.....

当注入1’ order by 3#时报错,而1’ 

最低0.47元/天 解锁文章
Mbys_Lettuce
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dvwa——sql注入
GZY0601的博客
09-16 569
Hello!转眼一看距离我上次发文章都是一年前的事情了,中职的第三年都一直备赛的路上,一次比了三个项目,搞得学的好乱,现在上了大学,开始回来复习安全的东西,说实话好久没练了很多基本的东西都忘记了,去年就一直说要写dvwa的教程,现在刚好算是可以边复习边更新。哈哈哈哈哈哈!SQL注入是一种常见的网络安全漏洞和攻击方式,它利用应用程序对用户输入数据的处理不当,使得攻击者能够在执行SQL查询时插入恶意的SQL代码。通过成功注入恶意代码,攻击者可以执行未经授权的数据库操作,获取敏感信息、篡改数据甚至完破坏数据库
DVWAsql注入——联合注入和报错注入
Williamanddog的博客
12-20 1808
构造payload:1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1)))#使用格式:updatexml(xml_document,xpath_string,new_value),作用是将document的中符合string 的字符串替换为value的值。
DVWA通过攻略之SQL注入_dvwa sql注入(1)
最新发布
2401_84968303的博客
05-12 1093
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA-WEB漏洞系列之SQL注入
woo233的博客
08-09 3309
用户输入数据为 1’ and 1=1#,这时SQL语句发生变化,在原有查询完成后会判断 1=1,如果判断正确则才会有输出[#作用是注释(移除)后续SQL语句]在用户输入中依次增加order by后面的数据,当在输入为 1’ order by 3#时网页出现报错,证明该数据库有2列/字段。攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防御SQL注入:使用PDO,配合正确的过滤和sql语句就可避免SQL注入漏洞的产生。...
DVWA靶场之SQL注入通关详解,2024年最新如何系统面性学习网络安全语言
2401_84166103的博客
04-09 914
Web应用程序没有对用户输入的数据进行充分验证和过滤。黑客可以利用这个漏洞来欺骗Web应用程序,通过输入恶意的SQL语句来获取或篡改数据库中的敏感数据。
DVWA-SQL注入
acdcccc的博客
08-26 304
分享DVWA靶场的SQL注入过程
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
DVWA下的SQL注入
07-25
SQL
DVWA-SQL盲注脚本(
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
学习sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
2020-12-06-DVWAsql.md
01-24
dvwasql
SQL注入(回显)-DVWA
xy_sugar的博客
01-23 2593
概述 LOW等级 1、首先尝试正常操作,输入1 可是这里web应用通过查询数据库,获取了id为1的用户的信息,猜测SQL语句为: 2、接下来检测是否存在SQL注入漏洞,输入1’   报错,则说明单引号注入SQL语句中报错,存在SQL注入漏洞 尝试数字型,查询结果与id=1时的结果一样 尝试第二种情况,成功执行 尝试双引号,也没有成功 所以可知这里...
DVWA-SQL注入级别
小纯的博客
02-08 6314
一、SQL注入概念 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 二、手工注入常规思路 1.判断是否存在注入注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 ...
网络渗透测试实验3:SQL注入DVWA+SQLmap+Mysql注入实战)
zzzfff__的博客
11-21 1678
实验环境搭建。启动Metasploitable2虚拟机。1.输入账号密码【msfadmin】,输入【ip a】查询ip2.打开浏览器,输入该ip,进入DVWA输入账号密码:admin,password。账号密码使用nmap穷举,见我的另一篇博客3.注入点发现。首先肯定是要判断是否有注入漏洞。在输入框输入1,返回ID: 1返回正常;
注入SQL注入1
bwxzdjn的博客
03-18 1187
用实验案例的形式记录SQL注入按照注入点类型分类的三大基础注入形式:数字型注入、字符型注入和搜索型注入,采用手工注入的方法了解SQL注入的基本原理
数据库——SQL注入攻击
weixin_49816179的博客
01-05 1295
讲解SQL注入攻击的原理,讲解基本SQL注入攻击的方法,讲解防SQL注入攻击的基本措施。
利用dvwa靶场深度学习sql注入攻击
hcufo的博客
01-18 259
sql注入详细过程及总结
DVWA练习——sql注入
haoaaao的博客
01-30 2603
一、sql injection (1)由于dvwa需要登录,因此直接无法获取数据库的内容,则需要在sql注入语句中添加网站的cookie以绕过登录 获取cookie: (2)sqlmap获取数据库: python sqlmap.py -u "http://127.0.0.1:8082/vulnerabilities/sqli/?id=4354&Submit=Submit" --cookie="PHPSESSID=plhm5hfit589nq6h01tiq4u3f3; securit..
dvwasql注入(低级)
12-21
DVWA(Damn Vulnerable Web Application)是一个用于学习和测试Web应用程序安全的漏洞测试平台。其中包含了不同级别的漏洞,包括SQL注入SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中插入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值