sql注入pythonpoc_DVWA SQL-injection 附python脚本

最新推荐文章于 2023-02-24 12:47:00 发布
最新推荐文章于 2023-02-24 12:47:00 发布
阅读量383 收藏 3
点赞数
文章标签: sql注入pythonpoc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39896256/article/details/111451187
版权

SQL-Injection

low等级

首先我们将dvwa等级调到low 如图

接下来选择SQL Injection,并在提交框中输入正常值1,查看返回结果

接下来检测是否存在注入,分别输入 1' and 1=1    1' and 1=2 当我们输入1' and 1=1时,发现报错页面,提示我们语句没有闭合,所以我们输入1' and '1'='1和 1' and '1'='2

得到如上回显信息说明存在注入漏洞,简单说一下原因,当输入and '1'='1时,数据库查询语句为select * from users where user_id= '1' and '1'='1' 因为and 1=1永真所以数据库返回信息, 而 1=2为假所以不返回任何信息 得到以上信息说明我们成功将代码插入到数据库中了 也意味着此处存在sql注入

接下来就是去猜解数据库的信息过程如下

#猜解字段数

1' order by 1#

1' order by 2#

1' order by 3# 报错,说明

最低0.47元/天 解锁文章
weixin_39896256
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA(七) - 使用python脚本实现SQL盲注
qq_42785117的博客
09-02 3180
SQL Injection (Blind) sql盲注其实就是sql注入的一种,但是不会根据sql注入的攻击语句返回你想要知道的信息. 盲注分为两种: 布尔盲注以及时间盲注 布尔盲注: 根据你的注入信息返回True和Fales,而返回的True和Fales可能有不同的表现形式,根据不同的网页分析. 时间盲注: 当界面的返回值只有一种true的时候,就需要加入特定的时间函数,通过判断加载web...
python编写DVWA_SQL injection POC脚本
最新发布
weixin_44248977的博客
10-04 184
是对DVWA_SQLinjection关卡的python编写的SQL验证POC,输入字典,url,和正确的参数就能试验批量验证
DVWA通关教程(下)
m0_57349349的博客
08-03 2050
DVWASQL注入SQL盲注 sql注入 1.low级别 (1)判断是否存在注入点,是字符型还是数字形 输入 1,查询成功; 输入 1 and 1=1,发现查询仍然成功;//非数字形 输入 1/,发现查询仍然成功; 输入 1’,查询失败。出现如下图: (2)猜解 SQL 查询语句中的字段数 输入1' order by 10 # 发现报错 尝试1' order by 2 # 成功 (3)确定显示的字段顺序 输入 1' union select 1,2 # ...
poc练习-dvwa靶场sql注入(盲注)
qq_44248518的博客
02-24 292
dvwasql注入pocPython
python poc1---DVWA文件上传[low]
weixin_43152809的博客
02-22 271
python poc1---DVWA文件上传[low]
适合DVWASQL-li-lab的PHPStudy、DVWASQL-li-labs
03-26
接着是DVWA,这个应用设计有多个安全漏洞,包括跨站脚本(XSS)、文件包含漏洞、SQL注入等,用于模拟真实世界的网络安全问题。通过DVWA,开发者或安全研究人员可以实践如何发现这些漏洞,并学习如何修复它们。每个...
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
2020-12-06-DVWAsql.md
01-24
dvwasql
DVWA通关攻略零到一【全】
热门推荐
WX公众号-小白学安全
10-28 4万+
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA全级别详细通关教程
m0_62063669的博客
07-05 1万+
dvwa全级别详细通关教程,暴力破解,命令注入,CSRF跨站请求伪造,文件包含,文件上传​,SQL注入,XSS
实验吧-简单的sql注入3 Writeup
baynk的博客
07-29 340
继续继续 过程 输入1,然后发现只有一个hello。。。好吧,肯定得盲注了,先试试闭合吧,果然还是单引号的,但是居然有报错信息,应该也可以使用报错注入吧。 然后再尝试干掉单引号的时候意外发现#居然可以用了,这真是省了不少事。。 想来想去还是使用报错注入,盲注还是交给sqlmap来解决吧。先来搞库名,用的floor(),结果来这么一出。 don't到底是个啥,又换了两种其他的报错,updatexm...
渗透攻防Web篇-SQL注入攻击中级
人人为我,我为人人
12-29 615
前言找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1、识别数据库 3.2、UNION语句提取数据 3.3、枚举数据库 3.4、窃取哈希口令 3.5、获取WebShell 第四节 SQL盲注利用 4.1、初识SQL盲注 4.2、SQL盲注入技术-基于布尔 4.3、SQL盲注入技术-基于时间 4.4、我们的好朋友-Python 正文 第三节 利用SQL注.
Sql注入实战篇
永不垂头的博客
07-27 1294
学习笔记—Sql注入实战篇 一、编写注入的网页,用于实战。 index.php link.php 在老板火狐中开启hackbar, 进行sql注入。 Google中hackbar破解方法: https://www.fujieace.com/hacker/tools/hackbar.html 二、Sql注入基本流程(实战篇): 输入单引号报如下错误 1=1与1=2的区别:(参考链接: https://www.cnblogs.com/xyz315/p/13043950.html)第一步,判断是否
linux下dvwa安装教程,Kali linux2.0系统安装DVWA渗透测试平台 焕焕
weixin_42101056的博客
05-07 753
作者:icq8756c1a2焕焕最近一段时间一直研究Web防火墙,所以需要搭建一个渗透测试平台,以便学习常见的安全漏洞,如:SOL注入,XSS,文件上传包含等。Kali linux2017.1是官方发布的最新版本,里面默认的数据库是MariaDB,DVWA也从1.9版本更新到了1.10,在网上搜索了一番,没有发现最新的教程,所以按照网上已有的kaili linux2.0安装DVWA的教程进行尝试,...
读“NoSQL注入的分析和缓解”之摘录
zhangge3663的博客
03-27 566
一、NoSQL攻击途径     可以大致分为以下5类:      1.重言式。又称永真式。此类攻击是在条件语句中注入代码,使生成的表达式判定结果永远为真,从而绕过认证或访问机制。       2.联合查询。联合查询是一种众所周知的SQL注入技术,攻击者利用一个脆弱的参数去改变给定查询返回的数据集。联合查询最常用的用法是绕过认证页面获取数据。在本文中,我们将展示一个攻击示例,它将通过增加永真的表达式...
python 打造一个sql注入脚本 (一)
weixin_30577801的博客
03-18 1309
0x00前言: 昨天刚刚看完小迪老师的sql注入篇的第一章 所以有了新的笔记。 0x01笔记: sql注入原理: 网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。 sql注入对渗透的作用: 获取数据 sql注入特性: 攻击方法由数据库类型决定 攻击结果由数据库决定 漏洞代码: sql.php <?php $id=$_GE...
POC——DVWA‘s File Inclusion
weixin_45260839的博客
06-19 136
POC——DVWA's File Inclusion
安装并配置SQL注入实验平台DVWA,输入任意SQL注入语句测试
05-18
接下来,您可以使用任意SQL注入语句测试DVWA。例如,您可以通过以下方式尝试注入: 1. 在DVWA登录页面上,输入用户名“admin”和密码“password”。 2. 在“ID”字段中输入以下内容: ``` 1' OR '1'='1 ``` 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值