sql注入漏洞测试2(初级篇)--为了女神小芳^o^

已于 2022-04-04 12:24:58 修改
阅读量3.6k 收藏 1
点赞数 1
分类专栏: 信息安全 文章标签: web安全 mysql
于 2022-04-04 12:22:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waxcj/article/details/123951149
版权

今天的的靶场是来自封神台的一个sql注入靶场,图片如下

点击进入传送门,结果如下图所示,先观察网站的url,查看是否有sql注入特征的信息,结果发现没有什么有用信息,但是图片下面有一个超链接,点进去看看!

进去之后看到了网站的url有我们想要的信息——“?id=1” ,这时候我们就可以去试试是否存在sql注入漏洞存在。

首先还是使用sqlmap(sqlmap对于新手来说是一款很好用的sql注入软件),进入sqlmap,将要测试网站的url输入进去

 不测不知道,一测就发现了有两个注入类型(布尔盲注和时间盲注),接着就爆破数据库名,查看一下所有的数据库名

 找到了3个数据库名,根据上图信息,盲猜一下有用信息应该在猫舍数据库中,接下来就要爆破数据表了

爆出来了我们想要的admin字段,下面就爆破字段

爆破出来了id,password,username字段。 最后一步了,爆破所有数据

 找到了用户名和密码,也没有加密,直接去提交flag

 好了,今天的内容结束了,希望对大家有帮助!(官方答案是使用sql手工注入)

LZsec
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
封神台靶场(一)为了女神小芳SQL注入攻击】(超级详细)
xiao_mai_的博客
05-11 734
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
sql简单注入-------基本步骤
xiaoduanDDG的博客
10-27 1265
本题用封神台靶场,第一道拯救女神小芳-猫舍的题作为例子 1.判断与数据库交互的地方是否存在注入点 方法:加入单引号'使数据库报错,说明存在注入点 2.判断字段数 用orderby或者group by 59.63.200.79:8003/?id=1 order by 1 //如果不报错则至少要有一个字段,进行第二个测试,直到报错为止 59.63.200.79:8003/...
封神台——手工注入基础(猫舍)
Zichel77的博客
07-04 7904
题目提示很明显,就是sql注入拿到管理员密码 点击传送门进入看到的是一个很简陋的猫舍页面 域名简单,没看到注入点http://59.63.200.79:8003/ 点击新闻页面看看 域名后面加上了id=1,说明存在着数据库的交互 那么这里就很有可能是注入点 把这个作为我们的目标urlhttp://59.63.200.79:8003/?id=1 进入手工注入步骤 第一步 判断是否存在SQL注入漏洞 构造and 1=1,这个语句是恒成立的,一般页面都是不报错的 再来试试1=2 .
封神台----SQL注入基础(猫舍)
最新发布
m0_74083553的博客
03-11 362
提示已经很明显了通过sql注入拿到管理员密码点击传送门进来发现是一个很简陋的页面点击查看试试看我们可以看到地址栏后面变成了?id=1。说明和后台数据库有交互可以尝试sql注入
网络安全1-1
小开心的博客
03-23 1006
声明:练习仅可在靶场,不可用于非法操作。 最近学习了一下网络安全的入门的相关操作,无意中找到了一个叫做封神台的靶场,搭配里边的教程学习了一下,感觉还是不错的,虽然大学学习了一些关于密码学的知识,在实际操作时,还是有一定的难度,初学者,经验能力还不够,写一文章记录一下。 第一章 辛巴猫舍(简单sql注入) 点击查看新闻1 1、检测一下是否有sql注入点 http://117.1...
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
安全测试-常见sql注入方法,命令
03-31
安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入...
YXcms-含有SQL注入漏洞的源码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的源码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
登录别人的账户(仅在封神台靶场).mp4
04-07
这个教程仅在封神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
SQL注入详解
读书 买花 长大
11-12 4207
SQL-sql
SQL注入(思维导图)
鸣蜩十四的博客
05-27 753
【2·未知攻焉知防】 如何利用SQL注入,结合图片马渗透入侵服务器
胡杨林
06-06 2808
1. 概述   此文原出自【爱运维社区】: http://www.easysb.cn   SQL注入漏洞是由于对字符串的过滤不严格导致的,根据数据外带方式不同,可分为时间盲注,bool盲注,错误等等很多种。如果当前站点的数据用户是root的话,那么就会导致服务器上的所有数据库泄露,假如不是root用户话,那么泄露的数据库仅仅为当前用户有权限的数据库。但是,即便这样能够访问当前的站点数据
黑客攻击常用的 SQL 注入是什么?这个漫画告诉你!
这个时代,作为程序员可能要学习小程序
02-25 198
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识 ​来自:虚无镜,(给ImportNew加星标,提高Java技能)jizhi.im/blog/post/sql_injection_intro先来看一副很有意思的漫画:相信大家对于学校们糟糕的网络环境和运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊SQL注入相关的内容。何谓SQL注入SQL注入是一种非常常见的数据库攻...
最强sql注入,程序员惹不起
liguangyao213的博客
08-02 1198
SQL注入是网站漏洞中常见的一种高危漏洞,该漏洞一旦被利用极大可能将数据库脱掉。 看下面这幅图,这可是个很有技术含量的号牌遮挡!! 这幅图中字幕满足sql注入中三个条件: 闭合代码中sql注入语法 ZU 0666’,0,0); 写入自己想操作的语句 DROP DATABASE TABLICE; 注释掉后台代码中其他sql语句 -- SQL注入原理...
SQLmap之sql注入(二)
qq_58000413的博客
08-14 438
可以使用 -v 参数,0-6显示的数据一次详细,如果想看到sqlmap发送的测试payload最好使用的等级就是3。python sqlmap.py -l 文件名 --batch --smart。注意:log文件中如果有sqlmap无法读取的字符(ascii码之外的字符)会读取失败。一、执行--os-shell的系统操作的要求。3、GPC为off,php主动转义的功能关闭。2.把记录的log文件放sqlmap目录下。产生交互式的操作系统的shell,用来执行cmd命令。1.判断可注入的参数。...
sqlmap自动化注入猫舍靶场练习
weixin_45540609的博客
04-15 896
使用 python sqlmap.py -u 加上url 扫描存在漏洞,一路enter,paramenter显示有bool盲注 --dbs查看有哪些数据库,然后-D进入maoshe数据库 --tables查看有哪些数据表,-T进入数据表admin --columns查看有哪些字段 算了,直接在admin后面加 --dump脱库吧!铛铛,成功! ...
sql手工注入漏洞测试(mysql数据库-字符型)
06-28
在针对MySQL数据库的字符型注入测试中,攻击者会尝试利用输入表单中的字符型数据来破坏SQL语句的可靠性,进而获取对数据库的访问权限。 攻击者通常会使用一些SQL注入工具,例如SQLMap、Havij等,通过模拟输入表单来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值