墨者学院SQL手工注入靶场漏洞详解

最新推荐文章于 2024-07-22 20:34:08 发布
最新推荐文章于 2024-07-22 20:34:08 发布
阅读量1.4k 收藏 7
点赞数 2
分类专栏: 学习之路 文章标签: mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sone_yoonyul/article/details/118552069
版权
本文详细介绍了墨者学院搭建的安全靶场,通过Nginx+PHP+MySQL环境,揭示了SQL注入的过程。从寻找注入入口到成功获取数据库信息,包括表的列数判断、利用UNION查询定位数据列、获取数据库名、表名、用户名和密码,最终实现系统破解。提醒读者,SQL注入有多种方法,应多加实践。
摘要由CSDN通过智能技术生成

墨者学院SQL手工注入靶场漏洞详解

目录

靶场地址

该靶场由墨者学院安全工程师“墨者”所搭建,靶场环境为Nginx+PHP+MySQL,启动靶场只需1墨币(注册的时候会送十几个墨币并且不会重复消耗,只需要尽情练习即可),靶场地址:
https://www.mozhe.cn/bug/detail/elRHc1BCd2VIckQxbjduMG9BVCtkZz09bW96aGUmozhe

步骤详解

  1. 观察首页,是否有注入入口

表单处无法进行注入,这时可以发现滚动栏有个通知,点开之后发现这是一个可能存在注入入口的页面。靶场登录页
通知页如下图所示:
在这里插入图片描述

地址栏带参数id=1 ,说明这个页面很有可能是从数据库返回的数据。

  1. 在地址栏参数部分添加sql语句and 1=2,查看是否可能实现注入。
最低0.47元/天 解锁文章
sone_yoonyul
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者靶场 post ,DB2,绕过登录,sql注入四关
07-22
### 墨者靶场 Post、DB2、绕过登录及SQL注入四关攻略 #### 一、前言 在网络安全领域,靶场是检验安全技术能力的重要平台之一。本次攻略将详细介绍墨者靶场中的Post、DB2、绕过登录及SQL注入四个挑战关卡的解决方法...
墨者靶场 SQL注入漏洞测试(报错盲注)通关思路
zyh1588的博客
11-01 295
小白回顾墨者靶场sql报错注入
墨者学院-在线靶场
weixin_42730900的博客
02-23 4174
浏览器信息伪造 更改user-agent:Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G ## 来源页伪造
iwebsec靶场通关sql注入详解
m0_51090949的博客
07-12 1049
iwebsec靶场sql注入通关,详细教程。
基于Sqli-Labs靶场的报错注入合集(以第五关为例子)
Joker
11-26 793
本文整合了12种报错注入,想了解报错注入的可以阅读一下。
sql注入-墨者学院SQL手工注入漏洞测试(MySQL数据库)
m0_75178803的博客
04-15 856
猜解列名字段数(数量) order by x 错误与正常的正常值的的连接点。union select 1,2,3,4 页面正常。回到题目上来,我们在id=1后面随意输入一些东西。order by 4,页面正常。order by 1,网站正常。order by 5,页面错误。文章基于小迪sql注入的复现。页面错误,说明id为注入点。我们即可得知有4个字段数。and 1=1 页面正常。and 1=2 页面错误。
墨者学院-XWAY科技管理系统V3.0
lianliandad的博客
09-15 3361
妙啊
墨者SQL手工注入漏洞测试(MySQL数据库)思路
weixin_50847719的博客
01-22 607
师从小迪,刚看完sql注入,印象最深刻就是小迪师傅到第四天了打火机依旧没油,咔嚓咔嚓打不着火 进入 寻找注入点 看这 http://219.153.49.228:47589/new_list.php?id=1 判断注入,老办法and 1 = 1和and 1=2 http://219.153.49.228:47589/new_list.php?id=1%20and%201=2 下面该数据库有几个字段(列名数量) order by x id=1 order by x http://219.153.
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
墨者未必黑.pdf
12-26
墨者未必黑.pdf
墨者-SQL手工注入漏洞测试(MySQL数据库)
最新发布
qq_66105152的博客
07-22 133
在地址栏加上语句“and 1=1”,页面可以正常显示。再尝试加入语句“and 1=2”,页面显示出错,没有了相关内容。说明地址栏是一个sql 的一个注入口。可知,数据库mozhe_Discuz_StormGroup下有两个表,一个StormGroup_member,另一个为notice。
墨者学院在线靶场SQL手工注入漏洞测试(MySQL数据库)
qq_47271638的博客
05-07 675
墨者学院在线靶场SQL手工注入漏洞测试(MySQL数据库) 打开环境 点击箭头指向链接 观察网页的URL发现有id=1,可能存在SQL注入点。 首先对URL进行尝试猜列名数量(字段数),在URL后面添加order by 1或者2 直到出现页面不在显示正常页面,这就说明存在的字段数应该是现在所输入的数字减1。 此处order by 4页面显示正常而order by 5出现页面不正常显示说明只存在4个字段(注此方法只适用于字段数不是很多的时候)。 然后查看哪个字段能显示出来 在URL后面联合查询 un
SQL手工注入漏洞测试(MySQL数据库)
asd158923328的博客
08-20 1470
靶场地址: https://www.mozhe.cn/bug/detail/elRHc1BCd2VIckQxbjduMG9BVCtkZz09bW96aGUmozhe 根据题意 进入页面 找到注入点 and 1=1 页面正常 and 1=2 页面报错 通过SQL语句中order by N 来判断有几个字段,返回内容正常,可以确定至少有1个字段。 通过SQL语句中order by N 来判...
墨者学院 靶场练习(一) SQL注入
a519395243的博客
12-20 8047
墨者学院 在线靶场 工具: sqlmap 第一题: SQL手工注入漏洞测试(MySQL数据库-字符型) 利用工具 可以很快速注入手工注入请看 https://blog.csdn.net/qq_42357070/article/details/81215715   进来点击公告   sqlmap 用于 mysql注入的步骤: 1:查找数据库 ./sqlmap.py ...
墨者靶场SQL手工注入漏洞测试(MySQL数据库)通关思路
zyh1588的博客
11-01 1328
小白回顾墨者靶场sql手工注入
【小迪安全day12】WEB 漏洞——SQL 注入
RichUee的博客
12-04 898
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
墨者学院05 SQL手工注入漏洞测试(MySQL数据库-字符型)
weixin_42789937的博客
01-25 296
墨者学院05 SQL手工注入漏洞测试(MySQL数据库-字符型),看见SQL内心已经没什么波澜...
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值