MYSQL手工注入某日本网站

最新推荐文章于 2021-03-25 05:02:55 发布
最新推荐文章于 2021-03-25 05:02:55 发布
阅读量642 收藏 1
点赞数
分类专栏: sql 文章标签: mysql 谷歌 日本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ic3evil/article/details/51891502
版权
本文记录了一次手工SQL注入的过程,通过一系列步骤判断注入点、确定数据库类型、猜解字段数、爆库及数据,展示了MySQL数据库的漏洞利用。在0x08环节,成功从TM_ADMIN_MEMBER表中获取了管理员账号信息。
摘要由CSDN通过智能技术生成

经过一天的辛苦劳动下班了,实在无聊,QQ上的基友基本都挂机睡觉了。找点乐子打发时间,看了一下2013年OWASP Top Ten Project, Injection排在第一。去了解注入,还是有必要的。
随便google了几个日本网站,发现不少都在注入点,有很多用手工都比较鸡肋,终于找到了一个比较满意的。

0X01 判断是否为注入点

http://henecia.jp/news/detail.php?nid=162

报错,显示MDB2 Error: syntax error

http://henecia.jp/news/detail.php?nid=162+and+1=1

显示正常

http://henecia.jp/news/detail.php?nid=162+and+1=2

显示异常,判断是注入点

0X02 判断数据库类型

http://henecia.jp/news/detail.php?nid=162+

最低0.47元/天 解锁文章
ic3evil
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL手工注入网站笔记
swaggy_tt的博客
12-03 738
SQL手工注入网站笔记 目标网站:http://testphp.vulnweb.com/listproducts.php?cat=1 1.判断注入点: http://testphp.vulnweb.com/listproducts.php?cat=1’ http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=1 永真条件,回显正常 http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=2 永假
教你如何手工注入网站(详细)
07-09
手工,一步一步教你如何注入以及脱库。让你对SQL注入有更深入的认识。
php网站手工注入,手工注入_拿下一般的php网站 - 联合网报-给你能用的信息-blog.uir.eb.cn......
weixin_39880318的博客
03-25 151
手工注入_拿下一般的php网站拿下一般的php网站,我是茫茫涯,QQ:89351687 一起学习!!!1.认识注入类型不管是asp.aspx.php,注入的标准类型必为2.判断是否存在注入不管是asp.aspx.php,注入点的判断都是这样的存在注入3.猜解准确字段数(不明白原理的请多看看这方面的文章,这只讲实际运用)利用union来查询准确字段,如: and 1=2 union select 1...
网站SQL手工注入过程演示
06-06
网站SQL手工注入过程演示视频。网站SQL手工注入过程演示视频。
mysql日本_MYSQL手工注入日本网站
weixin_39934257的博客
01-19 429
作者:ice 团队:www.anying.org 转载必须注明。E-mail:1c30day@gmail.com经过一天的辛苦劳动下班了,实在无聊,QQ上的基友基本都挂机睡觉了。找点乐子打发时间,看了一下2013年OWASP Top Ten Project, Injection排在第一。去了解注入,还是有必要的。随便google了几个日本网站,发现不少都在注入点,有很多用手工都比较鸡肋,终于找...
php手工注入.doc
06-22
在这个例子中,攻击者发现了一个存在注入漏洞的网站——日本福岛大学的一个页面(http://kenkyu.fukushima-u.ac.jp)。通过在URL参数`no`后添加单引号,触发了错误提示,证明了SQL注入的可能性。接下来,通过`ORDER ...
渗透测试基础笔记1
weixin_43750381的博客
11-20 1271
第一天第一课科普渗透测试流程渗透测试与入侵的最大区别:渗透测试流程流程图测试环境安装配置虚拟机篇 科普 黑客: “黑客”一词是由英语**Hacker**音译出来的。他们伴随着计算机和网络的发展而产生和成长。 黑客传奇 理查德 马修 斯托曼 传统型大黑客,斯托曼在1971年受聘成为美国麻省理工学院人工智能实验室程序员 史蒂夫 沃兹尼亚克 苹果计算机创办人之一,现就职小学教师。 林纳斯 托瓦...
Sqlmap
qq_44040833的博客
02-04 1398
SQLMAP sqlmap是一个kali自带的SQL注入工具,它的主要功能是对扫描,并且对指定URL进行注入,内置了很多绕过插件,还有很多功能我没使用过......... 目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等 Sqlmap采用了以下5...
Go 相关的框架,库和软件的精选清单
开发之路
07-03 4875
概述 这是一个Go 相关的框架,库和软件的精选清单,引用自 awesome-go项目,并翻译补充而来这是一个Go 相关的框架,库和软件的精选清单,引用自 awesome-go项目,并翻译补充而来 音频和音乐 用于处理音频的库。 EasyMIDI -EasyMidi是一个简单可靠的库,用于处理标准Midi文件(SMF)。 flac支持FLAC流的Native Go FLAC编码器/...
SQL注入到脱裤
09-11
详细描述如何利用sql漏洞,实现手工注入
网站的SQL注入实战
xingxiant的博客
07-13 5927
sql注入是黑客常用的手段之一,最近装了kali系统,所以体会了一把sql注入的感觉,有点体会记录如下:首先我们来看一下如何判断一个网站是可以进行sql注入: 为了把问题说明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY为例进行分析,YY可能是整型,也有可能是字符串。 1.整型参数的判断:     当输入的参数YY为整型时,通常abc.asp中SQL语句
mysql盲注脱裤_记一次猥琐的脱裤
weixin_35201989的博客
02-28 416
简介环境php+pdo+mysql+linuxFUCK IT因为是pdo,所以支持多行,一开始只用了时间盲注跑了用户表的列出来,然后可以通过多行语句执行updaet user set email=(select group_concat(table_name) from information_schema.columns where table_schema=database()) where ...
开房信息被黑客“脱裤”以后…
程序人生的博客
09-01 7208
点击上方“程序人生”,选择“置顶公众号”第一时间关注程序猿(媛)身边的故事作者特大妹如需转载,请联系原作者授权。这两天特大妹注意到一条大消息▼某知名酒店集团发生了数据泄露...
mysql盲注脱裤_白帽子挖洞—SQL注入
weixin_39614094的博客
02-19 868
0x00介绍SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。对于初学者而言,找漏洞最好是基于白盒审计进行,所谓白盒...
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
热门推荐
杨秀璋的专栏
07-30 1万+
这是最近学习渗透和网站攻防的基础性文章,前面文章从数据库原理解读了防止SQL注入、SQLMAP的基础用法、数据库差异备份、Caidao神器。这篇文章将详细讲解MySQL数据库攻防知识,有点类似第一篇文章,然后其核心是解决局部刷新数据的思想,并通过Fiddler神器分析数据包的方法。 希望自己能深入地学习这部分知识,作为一个初学者,在探索网络攻防和渗透的路上还很长。同时,希望文章对你有所帮助,尤其是学习网络安全的初学者,错误或不足之处还请海涵~
网安学习笔记(一)——SQL注入漏洞
qq_41599682的博客
06-17 637
此文为了仅为了帮助自己记录学习网络安全时的笔记。小白一枚,如有错误还望大佬指正。 SQL注入漏洞 原理 用户可控参数中注入SQL语法,破坏原有的SQL结构,达到编写程序时意料之外结果的攻击行为 原因 程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造了SQL语句。 未对用户可控参数进行足够的过滤便将参数内容拼接进入到语句之中。 SQL注入漏洞的关键条件:输入可控;原本要执行的代码拼接了输入 注入点 根据原理,在用户可控参数中注入SQL语法,也就是说只要web应用在获取用户数据的地
Web安全之SQL注入基础
xlsj雪松的博客
04-29 857
最近看了好多优秀的文章,总结了一下之前学过的SQL注入。 第一篇 基础篇 1 SQL注入介绍 SQL是什么: 结构化查询语言(Structured Query Language)简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;同时也是数据库脚本文件的扩展名。 SQL注入是什么: 通过在⽤户可控的参数中注⼊SQL语法,破坏原有SQL结构,...
mysql盲注脱裤_SQL注入之基于布尔的盲注详解
weixin_42513870的博客
02-19 513
基于布尔的盲注Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。由于本次是布尔注入,手注无法完整地进行脱裤。所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据。所以在这章里面会有很多的Python代码。本次的示例就是Less-8。通过进行下面的语句的注入测试http://localhost...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值