SQL Injection基础知识_03

最新推荐文章于 2021-09-17 20:29:03 发布
最新推荐文章于 2021-09-17 20:29:03 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: web安全常见漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43712064/article/details/104132764
版权

文章目录

SQL自动化注入

  • SQL注入比较好用的工具,首推开源工具SQLmap。SQLmap是一个国内外著名的安全稳定性测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的安全稳定性测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

  • SQLmap支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等数据库的各种安全漏洞检测。
    在这里插入图片描述

  • target: -u URL, --url=URL Target URL
    (e.g. “http://www.site.com/vuln.php?id=1”)

  • 在google或百度里面搜:inurl.php?id=
    可以找到包含该注入点的网页,证明有SQL注入的可能性,但不一定一定包含注入点。

GET方法注入

1.尝试探测OWASP中SQL注入界面的注入点
在这里插入图片描述
在这里插入图片描述

root@kali:~# sqlmap -u sqlmap -u "http://192.168.122.129/dvwa/vulnerabilities/sqli/?id=2" --batch

在这里插入图片描述
发现:会重定向到一个登陆界面,无法确定进入输入的URL所代表的界面。

2.我们可以使用一个不需要登录的靶机软件‘
在这里插入图片描述
在这里插入图片描述
(1)获取系统等相关信息

root@kali:~# sqlmap -u "http://192.168.122.129/mutillidae/index.php?page=user-info.php&username=zhuzhuxia&password=123&user-inf
最低0.47元/天 解锁文章
菜丁儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
commix工具配合命令注入
Sylon的博客
06-11 4047
commix简介 commix是一款由python编写,开源自动化检测系统命令注入工具https://github.com/commixproject/commix commix参数 选项: -v          VERBOSE详细程度级别(0-1,默认值:0)。 --version      显示版本号并退出。 ...
SQL Injection基础知识_01
weixin_43712064的博客
01-31 351
文章目录SQL注入攻击及防御01实验简介SQL注入危害SQL基础回顾登录OWASP查看数据库查看数据库中的表查看表的记录简单查询示例information_schema SQL注入攻击及防御01 实验简介 在owasp年度top10安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要...
SQL注入攻击及防御 手动注入+sqlmap自动化注入实战(网络安全学习12)
Until_U的博客
07-05 3840
1 项目实验环境 测试渗透机:kali_linux-2020 链接:https://pan.baidu.com/s/1apN96nIcs1Fyx8YmFs24Xg 提取码:32ve 目标靶机:owasp_Broken_Web_Apps 链接:https://pan.baidu.com/s/1CMJ2aERmDGlXXkhUmjDmtA 提取码:9zsj 2 SQL注入概述 2.1 SQL注入简介 在owasp年度top 10安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊..
dvwa题全记录
Leong_Vinson的博客
09-17 4623
总实验准备: kali虚拟机、OWASPBWA靶机、win10、XShell 文件上传漏洞[低] 一句话木马,中国菜刀 靶机一定要用NAT连接,桥接方式不安全。因为用靶机复制不了不方便做笔记,所以我用XShell将靶机终端连接在物理机上。查看靶机的IP地址: root@owaspbwa:~# dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 2890 killed old client process, rem
【DVWA】暴力破解_全级别
weixin_45378289的博客
06-29 278
1.low级别 直接使用sql注入,只要存在admin这个用户就行 2.medium级别 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 特殊字符会被转义,不能使用sql注入了,得使用暴力破解。 所以密码是admin 也可以用字典破解 3.high级别 stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。 sleep() 函数延迟执行当前脚本若干秒。 问题不大,照样能用medium级别的方法做 网上
python 发包器
时光凉春衫薄的博客
12-20 1967
python 发包器 今天写个发包器玩玩 以前只是用burp工具去做发包测试,当没有burp的时候也挺尴尬的。。 如果用python的话写起来也挺快的,主要是可以根据自己的需求做改变嘻嘻 #!/usr/bin/python3 import os import sys,time import requests from requests.packages import urllib3 #...
SQL Injection 基础
qq_44466110的博客
03-21 204
SQL Injection 基础 MySQL 基础 几个概念: 库的基本操作 查看已有的库:show database; 创建库:create database 库名; 查看创建的库:show create database 库名; 查看当前所在库:select database(); 切换库:use 库名; 查看库中已有的表:show tables; 删除库:drop database 库名...
SQL Injection Tutorial.zip_SQLInjectionTutorial_findl4v_luckyr3n
09-25
1. **SQL注入基础知识**:解释SQL的基本概念,以及它是如何被用来构建查询和操作数据库的。 2. **攻击类型**:介绍不同类型的SQL注入,如错误基于的注入、盲注、堆叠查询注入等,以及它们的工作原理。 3. **漏洞...
more_advanced_sql_injection.7z
06-12
压缩包内唯一的文件"more_advanced_sql_injection.pdf"很可能是核心内容,它可能涵盖以下几个关键知识点: 1. SQL注入基础:解释什么是SQL注入,它是如何工作的,以及为什么它是如此危险。这可能包括经典注入示例,...
sql.zip_How We Learn
09-19
在本文档“qol-Injection-hack.pdf”中,我们将深入探讨如何在个人语言环境中实施SQL注入攻击,并在77页的篇幅里全面解析其原理、危害以及防御策略。 首先,我们需要理解SQL注入的基础概念。SQL注入是攻击者通过在...
Manipulating_SQL_Server_Using_SQL_Injection.7z
06-12
标题中的“Manipulating SQL Server Using SQL Injection”表明这个压缩包包含了一个关于利用SQL注入攻击操纵SQL Server数据库的教程。SQL注入是一种常见的网络安全漏洞,黑客通过输入恶意SQL代码,可以获取未授权的...
SQL注入基础整理及Tricks总结1
08-03
以上就是对SQL注入的基础知识和一些技巧的总结,了解这些可以有助于提高应用的安全性,防止恶意攻击。在开发过程中,应确保对用户输入进行充分的验证和转义,或者使用预编译语句(参数化查询)以减少SQL注入的风险。
Hardware Engineering
07-06
Hardware Engineering Resources This document provides a curated list of resources for learning about hardware engineering, including books, online courses, websites, professional organizations, and online communities. Whether you're a beginner or looking to deepen your knowledge, these resources cover a wide range of topics in hardware engineering.
MongoDB的Linux安装、基本操作、可视化、实验源码与报告文档.docx
07-05
安装MongoDB: 下载MongoDB的最新稳定版本,可以通过官方网站或者命令行下载。 将下载的压缩文件解压至指定目录,如 /usr/local/mongodb。 创建数据存储目录,如 /data/db,确保对该目录有读写权限。 设置环境变量:在 ~/.bashrc 或者 ~/.zshrc 文件中添加以下内容: export PATH=/usr/local/mongodb/bin:$PATH 执行命令使配置生效: source ~/.bashrc 启动MongoDB,执行以下命令: mongod 基本操作: 启动MongoDB之后,可以通过命令行连接到MongoDB实例: mongo 创建数据库: use mydatabase 创建集合并插入文档: db.mycollection.insertOne({ name: "John", age: 30 }) 查询文档: db.mycollection.find() 可视化工具: 可以使用MongoDB官方提供的可视化工具Compass,也可以使用第三方工具如Robo3T或者Studio 3T来管理Mong
宏基笔记本主板Acer Chromebook C730 Quanta ZHQ v1.0维修图纸
07-05
宏基笔记本主板Acer Chromebook C730 Quanta ZHQ v1.0维修图纸
EY-零售和商业银行业务中的生成式人工智能(英文)(1).pdf
07-05
EY-零售和商业银行业务中的生成式人工智能(英文)(1).pdf
Axure各行业可视化大屏高保真原型(60款).rp
07-05
大屏原型主要包括智慧城市、一网统管、城市大脑、一网通办、数字政府、企业数字化转型、大数据治理、大数据可视化、数据安全、数字乡村、乡村振兴、田园综合体、特色小镇、智慧园区、智慧楼宇、智慧政务、智慧校园、智慧教育、智慧高校、区块链、人工智能、数据中台、新基建、数字孪生、智慧医疗、智慧医院、智慧交通、智慧公交、5G行业应用、数据中台、业务中台、智能制造、数字化工厂、智慧工厂、工业4.0、智能建筑、智慧工地、智慧港口、智慧矿山、智慧展馆、智慧体育馆、应急管理、智慧水利、智慧水务、智慧供水、智慧排水、智慧热力、海绵城市、智慧市政、垃圾分类、智慧环卫、智慧菜市场农贸市场、智慧公厕、食品溯源、智慧安监、安全生产、智慧财政、智慧人社、智慧公安、智慧营区、智慧民生、食品药品安全、明厨亮灶、雪亮工程、平安城市、智慧管廊、智慧管线、智慧路灯、IOT物联网、NB-IOT技术应用、智慧公路、智慧车站、智慧税务、智慧服务大厅、市长热线、市民服务、智慧法院、智慧检察院、智慧司法、智慧检务、智慧园林、智慧景区、智慧旅游、智慧公园等行业,物超所值!
自动化测试崛起(AI歌曲)
07-05
这是一首亲写歌词,并有sunoAi进行编曲演唱的歌,确实厉害。
Vuejs入门到高级项目实战教程
最新发布
07-06
Vuejs入门到高级项目实战教程
OracleSQL基础知识论述.pptx
04-17
OracleSQL基础知识论述

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值