2022.7.28皮卡丘靶场SQL注入作业

最新推荐文章于 2024-09-19 19:34:51 发布
最新推荐文章于 2024-09-19 19:34:51 发布
阅读量747 收藏 2
点赞数 1
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44503202/article/details/126044978
版权
本文详细介绍了在皮卡丘靶场进行SQL注入的实战过程,包括数字型、字符型、搜索型和xx型注入。通过SQLmap工具,展示了如何查看数据库中的表和数据,以及利用-D参数快速获取所有表的信息。
摘要由CSDN通过智能技术生成

1.皮卡丘靶场SQL注入作业

1.数字型注入

1.利用bp抓包,抓到id=1&submit=%E6%9F%A5%E8%AF%A2这个数据,指的是皮卡丘靶场的选择数据为1的上传数据。
在这里插入图片描述
2.利用SQLmap跑这个网页,我用的是这个代码:sqlmap -u "http://42.192.179.177:8000/vul/sqli/sqli_id.php" --data "id=1&submit=%E6%9F%A5%E8%AF%A2" --dbs --batch
在这里插入图片描述
3.运行下来的结果如下,显示的数据库
在这里插入图片描述
4.查看数据库里的所有表(师傅说拿全部数据,我就不ps(因为我太懒了),这里就看pikachu数据库里的数据)
在这里插入图片描述
pikachu库里都有这些表
<

最低0.47元/天 解锁文章
小刘不Fat
关注
皮卡丘--sql注入
renyizou的博客
06-21 616
概述: 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞: 1.对传进SQL语句里面的
Pikachu漏洞练习平台实验——SQL注入
m0_73826804的博客
02-22 2908
SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。比如我们期望用户输入整数的id,但是用户输入了上图中下面的语句,这是条能被正常执行的SQL语句,导致表中的数据都会输出。
pikachu(sql注入
最新发布
m0_74394274的博客
09-19 880
大家好
皮卡丘(pikachu)SQL注入(手工和工具举例)
weixin_44787832的博客
07-21 4249
我们以数字型(使用sqlmap)和整数型(使用手工注入)举一个例子 数字型注入(POST) 我们使用了sqlmap 选择1点击查询并抓包 将抓下来的数据全部复制在一个记事本里,命名为1.txt 使用命令 python sqlmap.py –r 111.txt –current-db 爆出数据库:pikachu 之后爆破表:python sqlmap.py –r 111.txt –D pikachu -tables 爆出表 在之后找一个表去爆列名 python
pikachu靶场SQL注入
2303_79340715的博客
03-17 2517
个人觉得SQL注入还是挺难的,关键点在于找SQL语句的闭合,文章会比较长,要是能一关一关对着看的话,会对你有不少好处滴!!!当然啦,手搓重要,学会用sqlmap也是挺重要的哦,主要是我还不会~爆账号密码之类的信息再插一句:设置靶场的人已经告诉我们数据库是mysql了。
皮卡丘靶场-sql注入详解
Mr_helloword的博客
07-31 1833
皮卡丘靶场-sql注入 数字型注入 这里为post传参,所以我们需要抓包 抓包后发现id,我们一般在后面输入 ’ " \来测试有无注入,发现有sql语句报错,而且没有数字1,这和题目提示的数字型注入一样 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200730155448929.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNz
皮卡丘靶场,初始化就能用
09-24
"皮卡丘靶场"是一个专门用于网络安全教育和训练的平台,它提供了丰富的安全学习资源和实战环境,帮助用户提升安全技能。这个靶场通常包含了各种模拟的安全漏洞环境,让用户在安全的环境中实践攻防技术。从提供的描述...
皮卡丘靶场工具包.zip
08-07
皮卡丘靶场工具包.zip
靶场合集,集合了upload-labs、sqli-labs、dvwa、小蜜蜂、皮卡丘5个靶场.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
pikachu-sql注入皮卡丘
twowords的博客
08-04 2119
数字型注入(post) post注入方式,可用BurpSuite进行抓包,发送到Repeater模块进行id值的修改 数字型注入 则不需要添加字符 payload: or 1=1 字符型注入(get) 字符型注入 当输入1'时 有报错信息''1'''可以看到源name值由单引号''包裹 可以用 '进行闭合 并用#注释掉后边内容 payload: 1' or 1=1 # 搜索型注入 根据提示 我们可以输入用户名一部分进行查询 并添加字符'如下图 并显示报错 由报错信息可以看到需要加%'进
pikachu-sql注入
Resets_的博客
04-01 616
pikachu sql数字型注入,字符型注入
pikachu之SQL注入
qq_58091216的博客
11-04 2359
SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
Pikachu-----Sql Inject(SQL注入
m0_65712192的博客
12-29 2869
Pikachu-----Sql Inject(SQL注入
Pikachu(皮卡丘)靶场SQL注入
剁椒鱼头没剁椒的博客
12-14 5255
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
pikachu靶场通关之sql注入
qq_74825121的博客
01-21 2933
pikachu靶场通关之sql注入
pikachu SQL 注入(皮卡丘漏洞平台通关系列)
weixin_60508121的博客
04-14 3540
SQL注入漏洞的主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有严格的判断,导致其传入的数据拼接到SQL语句中后,被当做SQL语句执行。从而导致数据库受损。
皮卡丘SQL注入汇总
Fly_Mojito的博客
05-31 1419
皮卡丘SQL注入
皮卡丘靶场 SQL注入(时间延时注入)
PurEandPure
05-06 137
3、从kail跑sqlmap,判断是否存在注入点。-tochnique=T 用延时注入去查。
皮卡丘sql注入盲注
10-23
皮卡丘SQL注入盲注是一种SQL注入攻击技术,它利用了Web应用程序中存在的安全漏洞,通过构造恶意的SQL语句来获取敏感信息或者执行非授权的操作。盲注是指攻击者无法直接获取数据库中的数据,而是通过不断地试错和推断来获取数据。 在盲注攻击中,攻击者需要通过构造特定的SQL语句来判断数据库中的数据是否符合自己的要求。攻击者可以通过不断地尝试不同的语句和参数来推断出数据库中的数据,例如通过判断某个条件是否成立来确定某个字段的值。 皮卡丘SQL注入盲注是一种比较常见的SQL注入攻击技术,它利用了Web应用程序中存在的安全漏洞,通过构造恶意的SQL语句来获取敏感信息或者执行非授权的操作。攻击者可以通过构造特定的SQL语句来判断数据库中的数据是否符合自己的要求,例如通过判断某个条件是否成立来确定某个字段的值。攻击者可以通过不断地尝试不同的语句和参数来推断出数据库中的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值