sql注入实验二

已于 2023-09-29 22:26:23 修改
阅读量47 收藏
点赞数
分类专栏: 信息系统安全 文章标签: sql 系统安全 安全 网络安全
于 2023-09-29 22:13:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70311894/article/details/133420706
版权

一、实验目的

1、深入理解sql注入工作原理;

2、怎么去绕过正则表达式实现注入

3、培养学生的独立思考能力

二、实验环境

浏览器/服务器环境;

服务器配置:apache+php+Mysql;

打开实验网址(http://10.1.1.11:81),可以看到实验练习系统

三、实验内容与实验要求

对于MySQL的注入,大概有这些思路:

1.判断注入点是否有读写权限,如果有,那么可以直接读取配置文件、用户名密码等;当magic_quotes_gpc为off的时候还可以直接导出一句话webshell。

2.没有读写权限时,判断MySQL版本,5.0以上时可以通过爆的方式获得用户名密码;5.0以下或者5.0以上不能爆时(比如限制了information_schema数据库),可以通过盲注获得用户名密码。

3.有时候,由于一个参数可能执行了多个查询语句,而导致查不出字段数,更没有数字回显时,如果服务器开启了MySQL错误回显的话,还可以通过报错注入从报错信息中获取我们想要知道的东西。

实例四、看仔细点,别被吓坏了

   关键代码:

   本例任务:尝试进行sql注入,目标为得到数据库中的用户名与密码,并对你的sql注入测试语句及简单说明;

实例五、这个规则没多大意义

      关键代码:

  

    本例任务:尝试进行sql注入,目标为得到数据库中的用户名与密码,并对你的sql注入测试语句及简单说明

实例六、想用工具没门

     关键代码:

     

      本例任务:尝试进行sql注入,目标为得到数据库中的用户名与密码,并对你的sql注入测试语句及简单说明。

四、实验过程与分析

 进行sql注入,目标为得到数据库中的用户名与密码

进行sql注入,目标为得到数据库中的用户名与密码

进行sql注入,目标为得到数据库中的用户名与密码

若不想用空格可用%

五、实验结果总结

实验中未遇到问题,如果不想用空格可用%的方式。

moon-Joe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入实验
xiongIT的博客
10-29 2569
SQL注入实验和站在防御者角度该怎么预防Sql注入
SQL注入相关实验报告.doc
01-05
将恶意的SQL命令插入到输入域名或页面请求的查询字符串注入到后台数据库,输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
sql注入详解
热门推荐
yy
05-05 19万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
sql注入实验
我了解豹女就像农民伯伯了解大米
02-24 1350
实验目的 使学员了解SQL注入的原理和利用方法 实验内容 实验靶机URL:http://10.110.2.145:8008/ 通过手工注入获取admin账户的密码 实验过程进行截图,要求必须要有payload和结果截图 实验过程截图 SQL手工注入 http://10.110.2.145:8008/article.php?id=1 and 1=1 #有回显 http://10.110.2.145:8008/article.php?id=1 and 1=2 #无...
网络安全——SQL注入实验
网络工程
12-12 1894
1、掌握SQL注入的原理。2、通过开源网站渗透平台DVWA实战,掌握常见的SQL注入方法。3、具体内容:1)学习配置开源网站渗透平台DVWA(Damn Vulnerable Web Application)。2)学习常见的SQL语句:create、select、drop、union等。3)学习相关SQL注入方法并在实验平台验证。
Sql注入实验
Nocker888的博客
11-11 357
Sql注入 sqlmap工具的利用 我们看过这么多的道理,却仍旧过不好这一生。 sqlmap 我就不介绍了,大家应该都懂,不懂的你专业问题有点问题。 对于sqlmap的用法如果不会 可以help 一下 -a, --all Retrieve everything -b, --banner Retrieve DBMS banner ...
SQL注入实验报告
fencecat的博客
12-31 1万+
实验项目 SQL注入 综合性实验 2020年9月25日 一、实验综述 1.实验目的及要求 创建VMWARE虚拟机 的Windows环境, 在虚拟机中安装phpstudy,并搭建DVWA环境,通过学习web工作原理与SQL注入工作原理,能够实现简单的SQL注入验证。 2.实验仪器、设备或软件 Vmware DVWA phpStudy 3.实验原理 (1)Web工作原理: Web服务器的本质就是 接收数据 ⇒ HTTP解析 ⇒ 逻辑处理 ⇒ HTTP封包 ⇒ 发送数据。 Web服务器的工作流...
合天实验室—sql注入实验
qq_44813849的博客
09-23 766
实例一 和sql注入实验一一样的步骤,先看一下是否存在注入 这个通过测试发现存在注入 猜测字段数 这一题主要是在将单引号注释掉%23 这个字段数也是6 接着猜测字段内容 实例 这个操作步骤和一完全一样。 ...
web安全漏洞-SQL注入实验2
m0_63645854的博客
09-13 876
本文主要介绍了sql显注的漏洞判断原理,sqlmap工具的使用以及分析SQL注入漏洞的成因
SQL 注入 DVWA 实验
m0_63645854的博客
04-10 1665
SQL注入与自动注入
SQL 普通注入实验
m0_63645854的博客
04-01 181
本文主要介绍了SQL手动注入的流程
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
常规漏洞利用-sql注入实验指导书.pdf
08-03
常规漏洞利用-sql注入实验指导书#资源分享达人#
人工智能实验 SQL注入检测
01-15
构建分类器完成SQL注入语句的检测任务,区分正常访问(normal)或含SQL注入攻击(attack)的网络包。
Docker笔记-搭建达梦Python环境(dmPython + SQLAlchemy)
IT1995的博客
05-20 273
达梦提供的C接口,dpi和java的jar包已经很好用了,想不到,来了一个用python的同事,这里就只能适应下他了,在不影响其他环境下搭建一个python的达梦环境。最后发现,python对进行达梦增删改查,还是比较简单的开发效率大于C的dpi,甚至感觉效率也不再java之下。仅仅是搞业务这块还是比较方便的,但搭建和部署,难度比C和Java复杂了很多,反正就是各有优劣吧。
Oracle数据库之PL/SQL基本语法(八)
pursue_mony的博客
05-14 112
PL/SQL 是 Oracle 数据库中使用的过程化 SQL 语言扩展,它允许你在 SQL 语句中嵌入控制结构、变量声明、异常处理等。用于在 PL/SQL 块中输出调试信息。为了看到这些信息,你需要在 SQL*Plus 或其他客户端中启用它(例如,使用。PL/SQL 代码通常被组织在块(block)中。一个块包含三个部分:声明部分、执行部分和异常处理部分。包是 PL/SQL 中一种将逻辑、变量、常量、游标、类型、子程序、异常等组合在一起的数据库对象。在 PL/SQL 中,你可以在。部分来处理运行时错误。
sql去除表中某个字段的空格
最新发布
HelloWorld的专栏
05-20 50
比如表中名字字段,名字之间有空格,需要把空格去除,应该如何写SQL语句实现?函数来去除字符串两端的空格,如果需要去除字段中的所有空格,可以使用。以下是一个示例,假设我们有一个名为。的表,并且我们想要去除。在SQL中,可以使用。
SQL——SERVER的建表的基础知识
m0_74012211的博客
05-15 1315
SQL——SERVER的基本建表操作
如何进行sql注入实验
05-22
在进行SQL注入实验之前,请务必获得合法的授权,并且仅在授权范围内进行操作。 如果您已经获得了合法授权,可以按照以下步骤进行SQL注入实验: 1. 找到一个目标网站,该网站使用了动态生成SQL语句的方式来访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

moon-Joe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值