SQL注入之简单的本地环境测试

最新推荐文章于 2024-08-11 08:00:00 发布
最新推荐文章于 2024-08-11 08:00:00 发布
阅读量4k 收藏 3
点赞数
分类专栏: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42277564/article/details/80541486
版权

1、搭建本地留言板环境进行测试,获取用户名和密码

留言板的个人中心界面

2、添加一个单引号好出现数据库报错,可能存在sql注入


3、

3、判断注入类型是整型还是字符串类型

1=1和1=2返回界面不一样,判断为整型注入

4、猜字段,7时界面正常,8时界面不正常,说明有7列

5、判断显示位,下面直接用union语句查询,看一下源码,mysql_fetch_array只被调用了一次,而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有,具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果

 为什么要在id=1前面加一个负号?


看一下源码,mysql_fetch_array只被调用了一次,而mysql_fetch_array从结果集中取得一行作为关联数组或数字数组或二者兼有,具体看第二个参数是什么。所以这里无论怎么折腾最后只会出来第一行的查询结果

只要让第一行查询的结果是空集,即union左边的select子句查询结果为空,那么union右边的查询结果自然就成为了第一行,打印在网页上了

界面上出现的2,3,4为可注入点

6、查看数据库名和版本

7、数据库表名

8、爆列名

9、最后枚举用户名和密码

一次很简单的sql注入

selecthch
关注
专栏目录
SQL 注入天书.pdf
08-06
SQL注入SQL Injection)是网络渗透测试中的关键一环,涉及到服务器安全、数据保护和应用设计等多个方面。sqli-labs是一个在线学习平台,由Lcamry创建,提供了多个级别的挑战,让学习者逐步了解和掌握SQL注入技术。...
SQL注入(盲注——二分法POST)
qq_43520778的博客
09-07 458
[toc]SQL注入
sqli-labs漏洞靶场~SQL注入(全网最全详解)
最新发布
weixin_67832625的博客
08-11 1435
本文主要对sqli-labs靶场的过程及思路做了最清晰的讲解,因为网上都是一些零散教程,今天笔者主打真实,写一篇通俗易懂的文章供大家参考!!!
二分法实现SQL盲注
小菜猴子_x
09-12 1104
因为在buu上做题,然后无奈研究二分法实现SQL盲注
phpstudy下的SQL注入
m0_54448527的博客
03-23 1440
web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询 ,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。
sql注入详解
m0_67392811的博客
06-12 6054
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
学习之sql注入漏洞网址的创建
06-06
这篇文章的主题是“学习之sql注入漏洞网址的创建”,它旨在帮助初学者或研究人员建立一个自定义的环境来模拟SQL注入攻击,以便于理解和实践防御措施。下面将详细介绍这个过程以及涉及的相关知识点。 首先,SQL注入...
信息安全技术之SQL注入式攻击
12-17
信息安全技术之SQL注入式攻击 SQL注入式攻击是一种常见的网络攻击方式,通过将恶意的SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。这种攻击方式可以让攻击者获得...
Sqli注入Web测试环境.zip
02-13
这个"Sqli注入Web测试环境.zip"是一个专为测试和学习SQL注入漏洞而设计的靶场。靶场提供了实践和理解SQL注入攻击以及如何防御它们的机会。 首先,你需要一个Web服务器环境来运行这个靶场。这可能包括Apache、Nginx...
sql注入最新经典教学包
10-31
在学习SQL注入时,XAMPP提供了一个方便的平台,让你能在本地搭建Web服务器和数据库环境,模拟真实世界的注入攻击。 2. **sqlmap**:sqlmap是一款自动化SQL注入工具,用于检测和利用SQL注入漏洞。它能够自动识别...
sql强化练习工具,无需安装sql环境。绿色
05-01
这个软件很不错。分数高点咯。 不需要安装sql就可以练习sql的操作。软件无需安装。 不过现版本只能用于基本功能的使用。期待更新
本地搭建简单SQL注入环境
endeav_or的博客
08-10 1万+
首先本地要有一个wamp server,因为SQL注入涉及到与数据库交互,所以先从搭建测试数据库开始。       打开mysql console,输入root账户密码登陆。创建一个数据库,并命名为fake,命令如下:create database fake;      因为我之前已经建立好了,这里直接配置fake数据库的用户权限,配置为leon用户访问,且leon用户的密码为leon,命令如下:
sql注入学习(包括sqlilabs安装搭建注入环境步骤以及sqlmap安装操作说明链接地址)
热门推荐
莉莉安的博客
02-04 1万+
SQL注入: 就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。 它是利用现在已有的应用程序,将SQL语句插入到数据库中执行,执行一些并非按照设计者意图的SQL语句。 SQL注入可以分为平台层注入和代码注入。前者是由不安全的数据库配置或平台漏洞所致。后者是程序员对输入未进行细致过滤产生 sqlilabs搭建注入环境Sqli-labs是...
SQL注入环境搭建及多种注入类型测试实验
晓宇的博客
04-14 5635
SQL注入环境搭建及多种注入类型测试实验
渗透测试必备:数据库常见表名与SQL注入防范
在进行渗透测试时,特别是针对SQL注入和Cookie注入等安全漏洞检查,了解数据库中的常见表名至关重要。这些表名反映了数据库设计的基本结构,攻击者可能会利用它们来构造恶意查询。以下是一些常见的数据库表名及其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值