使用google挖掘SQL注入漏洞

最新推荐文章于 2023-08-17 10:11:19 发布
最新推荐文章于 2023-08-17 10:11:19 发布
阅读量2.9k 收藏 14
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58091216/article/details/127161456
版权

1.使用Google语法进行搜索: inurl:php?id=,记得在inurl前面加公司不然出现的是英文。

2. 我们随便点击一个网站

3.我们可以看到新闻中心(一般情况下SQL注入存在新闻中心),我们点击进去进行尝试是否存在SQL注入,我们输入id=98’看到报错了,我们猜测是数字型注入

 4.我们输入and 1=1没有报错,1=2报错了,所以存在SQL注入

 

5. 我们判断有多少列,我们使用二分法,10报错了

 

 5没有报错,9报错了,8没有报错,所以列一个有8列

 

 6.我们判断显注点,可以知道是2和7

 7.我们进行爆破数据库

 8.我们进行爆破表名  可以看到有user这个表名

 9.我们进行爆破user这个表名里面的字段名,我们看到有用户名和密码

10.我们进行爆破数据(用户名和密码)

 

 

MS02423
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
SQL注入漏洞演示源代码
09-29
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
SQL注入漏洞过程实例及解决方案
09-08
主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
利用谷歌搜索SQL注入漏洞关键词
12-16
利用谷歌搜索SQL注入漏洞关键词 目标关键字+inurl:id 英语字母及单词+inurl:id 网站域名+inurl:id 阿拉伯数字+inurl:id inurl:asp?id= inurl:Article_Print.asp? EnCompHonorBig.asp?id=随便加个数字 showproduct.asp?id=随便加个数字 inurl:ManageLogin.asp EnCompHonorBig.asp?id= 随便加个数字 inurl: (asp?=数字) inurl: (php?=数字 等等 里面都有很多。 非常简单好用
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞全接触.ppt
SQL注入经验分享(一)
qq_58000413的博客
11-16 2069
id=10】,看看是否可以使用第二个参数点进行测试得出结果呢,很遗憾,结果都是没有结果,一直报错,这里应该是没有注入点的,但这里直接给绝对路径报出来了,也是漏洞。c、接着尝试闭合但都是这样的情况,输入一个中文的符号都报错,就很郁闷,首先这位置百分百是存在sql注入的,就想着试试sqlmap,but这家伙一点都不给力,只能瞎点点其他页面,看有没有传参。g、这就很奈斯,那我们可以使用上面的方法进行测试了,这里我们使用的是报错函数配合这个if进行一起使用,可以有不一样的效果,成功的将库名爆出。
记一次我的漏洞挖掘实战——某公司的SQL注入漏洞
PICACHU+++的博客
05-02 4038
我是在漏洞盒子上提交的漏洞,上面有一个项目叫做公益SRC。公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞漏洞盒子进行提交。在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。SQL注入的防御方法很多,也是老生常谈的问题。
用谷歌搜索技术问题一定比用百度好?也未必...
程序猿DD
07-28 432
在我们程序员圈子里,存在着各种鄙视链,其中对于搜索引擎的选择,存在着谷歌 > 百度的观点。很多开发者认为,百度上的搜索质量不高,而谷歌搜索更能帮助我们解决开发中的问题。那么实际情况真...
渗透中超全的Google hack语法
qq_56426046的博客
02-22 2906
inurl:Login 将返回url中含有Login的网页intitle:后台登录管理员 将返回含有管理员后台的网页intext:后台登录 将返回含有后台的网页inurl:/admin/login.php 将返回含有admin后台的网页inurl:/phpmyadmin/index.php 将返回含有phpmyadmin后台的网页inur:Login 将只在中查找urI中含有Login的网页filetype:pdf 将只返回站点上文件类型为pdf的网页将返回所有包含指向的网页将返回与。
来自榜一的公益SRC挖掘思路分享
weixin_50464560的博客
03-31 3907
前言本文内容是写有关公益SRC如何高效上分。有些大佬看到这里可能会说:“公益SRC一点技术含量的没有,刷这玩意有啥用?”。我认为,任何一样东西存在,他都是合理的,当然了包括公益src。对小白入门来说挖掘公益src会让小白自身更加的了解漏洞的形成和挖掘。积攒更多实战经验,我认为意义非凡。这本身也是一种成长。公益src可以提供成多的实战环境,而不是枯燥无味的靶场毫无意思,在此之后你会遇到很多有趣的站点,也会学到更多的知识~想怎么快速的去交每一个漏洞呢?怎么高效的挖掘漏洞呢?展开了一系列的思考,才得出此文本文内容
SQL注入之实践--初试小刀
热门推荐
jiangliuzheng的专栏
07-11 1万+
1、sql注入的原理 sql注入是针对web客户端在提交数据时未对用户数据进行过滤,导致用户的特殊字符在数据库里被执行而导致的高危漏洞,恶意的可以删除整个数据库,提权到服务器挂马等。 一般acess数据库没有过滤的话直接暴库,但是不能提权哦,比较喜欢的还是mysql、sqlserver,可以提权,进行挂马等操作。之前在google上搜了一大堆具有sql injured的网站,今天就找一两个细致
goole hack+sql注入案例
dahe
01-04 2414
goole hack+sql注入案例 1.通过google hack 寻找测试目标 Google的常用语法及其说明 关键字 说明 Site 指定域名 Inurl URL中存在关键字的网页 Intext 网页正文中的关键字 Filetype 指定文件类型 Intitle .
搜索型SQL注入及SQL漏洞测试
weixin_44720762的博客
03-31 5362
搜索型注入原理和数据型,字符型注入相差不大,都是通过构造一个合法的语句,当参数传入后台后,造成一个合法的SQL语句闭合,从而将数据库里的数据遍历出来。 首先打开客户端寻找纯在SQL注入漏洞的注入点。 通过提示可知,尝试输入一个提示字符进行搜索,z 这里我们输入字母’l’,可以看见后台给出的相关信息。 通过后台给出的数据,和平台给的输入提示。我们可以设想后台是否用了搜索逻辑去进行相关数据的搜索从而...
google 搜索语法总结
weixin_47493074的博客
10-05 5750
google 搜索语法总结
谷歌搜索 PHP 教程一半以上含有 SQL 注入
极客日报
07-26 2989
笔者出于好奇,在Google 上搜索了 php mysql 电子注册程序,结果返回了教程、操作方法及代码片段。其中绝大部分结果还存在有缺陷的数据库声明,例如下面这个有问题的: // Don't do this! mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'"); 下面的列出的返回结果是按照谷歌搜索的推荐顺序来的,其中剔除了一些无关文章跟付费专区内容。存在的问题有: SQL 查询的所有参数被分类转义 仅在绝对必要的
渗透中超全的Google hack语法分享
2301_77732591的博客
06-19 1152
(inurl:"8080/monitorix" & intext:"Hostname") | inurl:"8080/monitorix-cgi" Monitorix系统监控工具web界面。Edit at your own risk." ext:txt cookie数据,有时包含易受攻击的信息。filetype:php intext:Your Email: intext:Your Name: intext:Reply-To: intext:mailer 邮箱用户名修改页面。Hostinger?
相关搜索引擎常用搜索语法Google hacking语法和FOFA语法
北冥同学的成长记录笔记
08-17 1920
熟练的掌握搜索引擎的高级语法可以帮助我们更加精准、具体的找到相关资产,这也是渗透测试第一阶段—信息收集中需要掌握的重要知识
谷歌搜索语法-防丢
qq_42511731的博客
05-19 757
一、谷歌语法是什么 谷歌语法就是利用搜索引擎在渗透测试过程搜索到特定页面的一种语法 二、如何利用谷歌语法 谷歌语法基础的符号: “xxx”: 将要搜索的关键字用引号括起来 (表示完全匹配,即关键词不能分开,顺序也不能变) 例如:腾讯课堂如果不加“ ”的话,就会针对腾讯和课堂进行拆分,既对腾讯进行搜索也对课堂进行搜索,所以加上“ ”的话就会对腾讯课堂进行绑定,只对腾讯课堂进行搜索 +:“xxx” +baidu.com 搜索xxx与baidu.com 相关的内容 例如:腾讯课堂 +ke.qq.com,
渗透测试之Google搜索语法
m0_48867141的博客
02-27 908
intitle 从网页标题中搜索指定的关键字,可专门用来搜索指定版本名称的各类web程序,也可用allintitle 例如: intitle:谷歌搜索语法 allintitle: 如果你觉得结果不满意,需要添加关键字,那么可以这样 allintitle:谷歌搜索语法 渗透测试 或者 intitle:谷歌搜索语法 intitle:渗透测试 inurl 从url中搜索指定的关键字,可专门用来构造各种形式的漏洞url,也可用allinurl 例如:inurl:free ..
sql注入漏洞挖掘实战
最新发布
08-31
SQL注入漏洞挖掘实战是指通过利用SQL注入漏洞漏洞挖掘活动。SQL注入漏洞是一种常见的数据库攻击手段,用于利用应用程序对用户输入的SQL语句进行不当处理,从而导致恶意用户可以执行未经授权的数据库操作。这些操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MS02423

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值