sql注入获取mysql信息_Burpsuite练兵场-利用SQL注入获取数据库内容数据(二)

最新推荐文章于 2023-01-08 23:53:49 发布
最新推荐文章于 2023-01-08 23:53:49 发布
阅读量464 收藏 2
点赞数
文章标签: sql注入获取mysql信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32028323/article/details/114000565
版权

实验一:Oracle数据库版本查询

实验要求:通过SQL注入显示后台数据库Oracle版本信息

ea6b54727e78f15d20447622094d8f73.png

探查查询列数量

13aabd44d32ee6e4ccfe413c83df0c69.png

探查查询列类型(注意Oracle数据库执行查询时必须附加表名,因此from dual不可遗漏,Oracle保证数据库中存在dual表以便于构成查询语句)

1b3111a42bc9a9499c497472f51a195d.png

注入显示版本号,完成实验

164105d3066996533afd9b4f4193c4d1.png

实验二:MySQL和Microsoft数据库版本查询

实验要求:通过SQL注入显示后台数据库版本信息

dd80795e53d042326b3c72e6f793e3e1.png

探查查询列数量(后面的a是因为HackBar插件会忽略最后的空格,因此需要添加一个任意字符使得注释符生效)

d584d871129bab43a22c37c92f3eef9c.png

探查查询列类型

abcbce52490e06557d48ca37ba607472.png

注入显示版本号,完成实验

bb7c7779b1d6c129e041b14adfc462cf.png

实验三:利用SQL注入在非Oracle数据库中检索数据内容

实验目标:检索数据库内容查找administrator账户信息并登录

a2898c825bb90e9d4eac59abd7a0a874.png

注入列数探查

398240fa3f579ce62b6f4d390614ee12.png

探查查询列类型

889240b9bb4a04bcdb84f5ad3b9baaac.png

注入查询数据库表名,记录表名信息

47dbcc6ae1935dc1a2f55a6a5b7dbf4b.png

开启burpsuite监听,查询列名

3b5c94fa1ffbcfa293e628f800d29183.png

将proxy记录的请求信息发送到Intruder模块,配置payload

31ba2b350244b41fcff11963c06e05fc.png

设置提取信息,方便结果查找

7d4f8923278be8eb95efb009f28fb2ae.png

将结果显示到浏览器中

6686bed2d60d6d96fc0a2cdfc61f0d4a.png

记录相关列名

d1b44d033a8f1f4bf8dd6a35f615f458.png

查询具体数据内容

9ca16c88949af2855928e503ff0fb289.png

成功登录以完成实验

实验四:利用SQL注入在Oracle数据库中检索数据内容

实验目标:检索数据库内容查找administrator账户信息并登录

c78154f08e7c8d405aa96e0b8ee31e97.png

注入列数探查

be6c89d77e45b41a0816812713049e93.png

探查查询列类型

cf365dcd1d55cbaa77535c368151c7e7.png

注入查询数据库表名,记录表名信息

662af65005ed817dbb09ddd2cff0a168.png

开启burpsuite监听,查询列名

ca34fb1da5829abc6059a9df2e003fe0.png

与上一实验一样配置Intruder进行攻击,爆破结果

a15bd339d93f9dcb0e11bceaaac6b6ab.png

依次查看符合要求的请求,发送请求获取最终有效账户信息

651ac48810f773dd529817e90f56ee6d.png

成功登录以完成实验

总结

SQL注入中获取数据信息的技巧是很多的,本文仅仅介绍了一些基础语句,更多的内容小伙伴们可以自己进行搜集验证

乐的乐快
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burpsuite_pro_windows-x64_v2021_8_2.exe
09-01
2021 burpsuite_pro_windows-x64 安装文件
sql注入获取mysql版本信息_这可能是最全的SQL注入总结,很有用
weixin_28936857的博客
02-22 2328
SQL注入原理当客户端提交的数据未作处理或转义直接带入数据库,就造成了sql注入。攻击者通过构造不同的sql语句来实现对数据库的任意操作。SQL注入的分类按变量类型分:数字型和字符型按HTTP提交方式分:POST注入、GET注入和Cookie注入按注入方式分:布尔注入、联合注入、多语句注入、报错注入、延时注入、内联注入按数据库类型分:sql:oracle、MySQL、mssql、access、sq...
获取数据库信息
weixin_30470857的博客
05-05 456
using System;using System.Data;using System.Data.SqlClient; namespace View{   public class GetDatabase   {     private string strSQL;     //与SQL Server的连接字符串设置     //private string connectionStrin...
SQL注入MySQL注入
weixin_51583033的博客
12-20 790
SQL注入MySQL注入
SQL注入
周星星的博客
07-23 660
SQL注入利用,sqlmap的基本使用
SQL注入漏洞
haoge1998的博客
04-15 1024
SQL注入漏洞 1、注入攻击的核心点: 拼接有效的语句或代码 确保完成闭合,并且可以改变原有执行逻辑 2、防护: 从代码和sql语句的逻辑层面考虑,不能轻易让密码对比失效 基于用户输入的引号(单引号和双引号)进行转义处理,可以使用PHP内置函数addslashes进行强制转义。 使用mysqli的预处理功能 一、查询注入的数据类型 注入类型可以分为三类: 1、数字型 select * from tables where id = 1; 2、字符型 select * from tables whe
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)
06-20
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)适用于Windows系统,Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的...
CVE-2018-9995_dvr_credentials.rar_CVE-2018_FXG_burp CVE-2018-999
09-20
[Tool] show DVR Credentiales 通过CVE-2018-9995漏洞获取部分暴露于网络的监控设备权限,与Shodan配合食用更佳。
burpsuite_community_windows-x64_v2022_2_4.exe
04-03
burpsuite_community_windows-x64_v2022_2_4.exe适用于Windows系统,Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一...
Burp_Suite使用说明_Burpsuite_Burp!_burp_burpsuite专业版_渗透网站_
09-28
网站渗透测试,容易上手的强力渗透工具,此为burpsuite的全面教程
mysql结构(ctfhub-sql注入
qq_26245471的博客
01-08 405
ctfhub sql注入mysql结构
细说——SQL注入的常见方式
LainWith的博客
11-04 6595
目录BurpSuite预配置1. 安装CO22. 配置CO23. 小试牛刀使用pikachu靶场的“字符型注入”联合查询(union)函数介绍order byunion selectlimit操作报错盲注1. 获取数据库名2. 获取敏感信息3.获取 mysql 账号密码其他报错函数4. 获取表名4.1 获取第一张表4.2 获取张表4.3 获取所有表5. 获取列5.1 获取第一列5.2 获取列5.3 获取所有列6. 获取列中的数据6.1 获取第一组数据6.2 获取数据6.3 获取所有数据布尔盲注
.各种基于 Go 语言实现的限流算法集合。.zip
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
基于全新GF(Go Frame)的后台管理系统.zip
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
基于Go的分布式ID生成服务 - 参考美团Leaf实现.zip
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
基于 Go 语言编写的类似于 Python 的 Scrapy 框架的开源网络爬虫框架。
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
qtcan通讯练习,ni-visa练习
最新发布
05-23
qtcan通讯练习,ni-visa练习
基于java文本编辑器.zip
05-23
基于java文本编辑器
burpsuite sql注入
06-07
Burp Suite是一款常用的渗透测试工具,其中包含了很多强大的功能,其中之一就是用于检测和利用SQL注入漏洞的工具。 下面是使用Burp Suite进行SQL注入的一般步骤: 1.使用Burp Suite代理拦截目标网站的请求。 2.在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值