sql注入攻击linux下的xampp网站,如何对此代码执行SQL注入攻击?

最新推荐文章于 2022-11-03 13:36:38 发布
最新推荐文章于 2022-11-03 13:36:38 发布
阅读量365 收藏
点赞数
文章标签: sql注入攻击linux下的xampp网站

我在其中设立了发展本地XAMPP服务器,我有一个表像这样:如何对此代码执行SQL注入攻击?

CREATE TABLE `entries`

(

`id` int(10) UNSIGNED NOT NULL,

`title` varchar(100) NOT NULL,

`entry` text NOT NULL,

`date_entered` datetime NOT NULL

)

为了学习如何保护我的查询对SQL注入,我想诱使一个(我故意不使用预准备语句)。我有一个查询插入此表中的条目像这样:

$sql = 'insert into entries (title , entry , date_entered) '

. 'values("'

. $postTitle

. '","'

. $postEntry

. '","'

. $dateEntered

. '")';

它的工作原理(它插入表中的条目),但我没能诱导针对它的SQL注入攻击。以下是我试图在$postEntry字段插入:

;drop table entries;

;drop table entries;'

';drop table entries;'

`;drop table entries;'

q';drop table entries;

q","e");drop table entries; --'

q","e");drop table entries;--

对于最后一个值的SQL查询变成了:

insert into entries (title , entry , date_entered) values("r","q","e");drop table entries;--","2016-08-18 10:35:36")

尽管如此条目表完好!

我修改了SQL字符串使用单引号,像这样:

$sql = 'insert into entries (title , entry , date_entered) '

. ' values(\''

. $postTitle

. '\',\''

. $postEntry

. '\',\''

. $dateEntered

. '\')';

然后尝试:

q','2016-5-5');drop table entries; --'

但仍然没有运气!我应该如何产生SQL注入攻击呢? 注意:建议的副本不重复,甚至没有答案。这个问题的关键在于演示expoite,以确保安全措施的正常运行。

2016-08-18

docesam

+0

尝试使用子查询而不是多个逗号分隔。 –

+0

mysqli_multi_query();执行由半(;)分隔的多个查询冒号 –

+0

为了学习如何保护您的查询免受SQL注入的影响,您必须学习如何保护您的查询。而任何注入东西都完全不相关的保护。 –

哥本哈根学派
关注
PHP+MysqlSQL注入源码 下载
04-25
SQL注入是指攻击者通过输入恶意的SQL语句,来操纵数据库,获取、修改、删除敏感数据,甚至完全控制数据库服务器。例如,一个简单的用户登录表单,如果未对用户输入进行充分的验证和转义,攻击者可以构造特定的输入,...
【安全渗透】sql注入
wy233333的博客
04-09 774
目录1. sql 注入1.1 sql 注入 介绍1.2 sql 注入 原理1.3 sql 注入 危害1.4 sql 注入 实现方式2. 环境搭建2.1 vmware虚拟机软件2.2 靶机(学习使用项目环境)2.3 渗透机(学习攻击 sql 注入环境)3. sql语句基本操作(mysql为例)3.1 基本 sql 库操作语句3.2 查询语句3.3 联合查询 union3.4 特殊数据库 1. sql...
Pikachu漏洞靶场 Sql Inject(SQL注入
柠檬i的博客
04-05 1135
哦,SQL注入漏洞,可怕的漏洞。 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
SQL注入靶场通关
龙卷风摧毁停车场
04-08 1万+
SQL注入靶场通关 SQL注入简介 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL注入原理 SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,使web服务器执行恶意命
sql注入攻击linux下的xampp网站,从SQL注入到Getshell:记一次禅道系统的渗透
weixin_32830601的博客
05-14 552
SQL注入分析网上之前有过一个9.1.2的orderBy函数的分析,但是没想到9.2.1也存在此问题,(2018.3.2号看到目前最新版本是9.8.1)。出问题的地方是此文件的orderBy函数:\lib\base\dao\dao.class.php对于limit后未做严格的过滤与判断,然后拼接到了order by后面导致产生注入.$order = join(',', $orders) . ' '...
SQL注入漏洞详解
热门推荐
谢公子的博客
07-26 9万+
目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 UpdateXml报错注入 五:时间盲注 六:REGEXP正则匹配 七:宽字节注入 八:堆叠注入 九:二次注入 十:User-Agent注入 十一:Cookie注入 十二:过滤绕过 十三......
虚拟机SQL注入Xampp靶场环境搭建
最新发布
qq_39330735的博客
11-03 591
虚拟机SQL注入Xampp 5.6.40版本靶场环境搭建
php连接sqlserver扩展文件.rar
06-27
- 应确保代码的安全性,如使用预编译语句防止SQL注入,以及正确处理用户输入以防止XSS攻击。 7. 性能优化: - 使用参数化查询和存储过程可以提高性能。 - 分批处理大数据量,避免一次性加载过多数据导致内存压力...
2-2Xampp原理与实践(Web集成环境解读) Web技术入门授课课件.zip
08-25
"00 Web安全学习路线图.xmind"可能为初学者提供了一个关于如何保护网站免受攻击的学习框架,包括常见的威胁如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,以及相应的预防措施。 综上所述,这个压缩包文件...
ASP网站CMS程序源码——KingCMS 2009 Beta PHP开源版实例开发.rar
10-17
6. **安全优化**:了解常见的Web安全问题,如SQL注入、XSS攻击等,并学会如何在KingCMS中防范这些风险。 四、进一步学习资源 为了深入学习和使用KingCMS,你可以参考以下资源: 1. 官方文档:官方可能提供了详细的...
【缺陷周话】第2期:SQL 注入
12-04 638
*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。 代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和D...
sql 注入 php 提权,Wordpress
weixin_31310913的博客
03-26 162
WordPress核心功能SQL注入漏洞分析威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析0x00 漏洞概述在twitter上看到Wordpress核心功能出现SQL注入漏洞,想学习下,就深入的跟了下代码,结果发现老外留了好大的一个坑。虽然确实存在注入问题,但是却没有像他blog中所说的那样可以通过订阅者...
vulhub靶场sql注入漏洞复现
赵花花08042的博客
12-13 3356
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234) https://github.com/vulhub/vulhub/blob/master/django/CVE-2019-14234/README.zh-cn.md https://mp.weixin.qq.com/s?__biz=MzA4NzUwMzc3NQ==&mid=2247483996&idx=1&sn=4254dc0a54003cccb29dd42935f8ccea.
xampp mysql 注入_XAMPP 任意文件写入漏洞(CVE-2013-2586)
weixin_32310195的博客
01-19 919
发布日期:2013-09-26更新日期:2013-10-08受影响系统:xampp xampp 1.8.1描述:--------------------------------------------------------------------------------BUGTRAQ ID: 62665CVE ID: CVE-2013-2586XAMPP是跨平台开源Web服务器解决方案软件包,...
CVE-2015-2679(GeniXCMS0.0.8sql注入漏洞)
Fly_鹏程万里
03-15 1009
漏洞介绍    GenixCMS一款简单和轻量级的移动商务内容管理系统,在GeniXCMS0.0.8中的注册页面存在注入漏洞,攻击者可以通过注入获取后台的登录用户名与密码,通过登录验证。同时借助GeniXCMS提供的上传模板功能,可以上传一句话木马到该系统中,之后使用菜刀进行连接即可获得WEBshell,之后可以通过创建用户等进行提权操作。漏洞分析在程序根目录下的register.php文件中,第...
mysql 5.7.11提权_XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)
weixin_32689769的博客
01-27 290
0x00简介XAMPP是一个建站集成软件包,一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版。类似与WampServer,phpstudy,他可以运行在Wndows、Linux、Mac OS等多种操作。XAMPP 的确非常容易安装和使用:只需下载,解压缩,启动,方便渗透测试人员搭建各种web环境。0x01漏洞概述在Windows上的XAMPP 7.2.29之前,7.3...
python sql注入框架_Django SQL注入漏洞复现(CVE-2020-7471)
weixin_39617318的博客
12-09 349
漏洞简介:Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架,起源于开源社区。使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序,应用广泛。2月11日,绿盟科技监测发现此漏洞PoC已公开,请相关用户尽快升级Django至修复版本,修复此漏洞。威胁类型SQL注入威胁等级高漏洞编号CVE-2020-7471受影响系统及应用版本受影响版本:Djan...
LinuxXAMPP与bugfree3安装配置详解及安全加固
本文档详细介绍了在Linux环境下安装和配置XAMPP服务器以及Bugfree3软件的步骤。XAMPP是一个集成环境,包含了Apache、MySQL、PHP和Perl等Web开发工具,常用于开发和测试LAMP(Linux、Apache、MySQL和PHP)架构的应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值