复习-基于insert update delete 的注入利用案例

最新推荐文章于 2024-01-11 18:38:03 发布
最新推荐文章于 2024-01-11 18:38:03 发布
阅读量163 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44722125/article/details/89429739
版权

insert 注入
先注册
在这里插入图片描述

用 ’ 试一下
报错,存在注入漏洞
在这里插入图片描述
在这里插入图片描述
先正常操作一下,在数据库表里面插入用户
在这里插入图片描述
看下insert 怎么做闭合
xiaohong’ or updatexml(1,concat(0x7e,database()),0)
在这里插入图片描述
在这里插入图片描述
报错 数据库报出来了
在这里插入图片描述
update 注入
原理和insert的一样

先登录一下
在这里插入图片描述
修改个人信息
在这里插入图片描述
用payload测一下,把第一个字段改成如下
xiaohong’ or updatexml(1,concat(0x7e,database()),0) or ’
报错,报出了数据库名称
在这里插入图片描述
delete注入
删除一个,看下抓包
在这里插入图片描述
发送到repeater 对id进行相关操作看一下
id是数字型的,所以不用 ’ 去闭合
1 or updatexml(1,contat(0x7e,database()),0)
改id 转编码
go一下
报错信息把数据库名称返回回来了
在这里插入图片描述
insert update delete 没法用union联合查询,因为不是一个查询是一个操作。

汉堡阿汉堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql insert 注入_SQLMap Insert注入踩坑记
weixin_39773239的博客
02-01 1104
*本文原创作者:Conan,本文属 FreeBuf 原创奖励计划,未经许可禁止转载前言本篇文章是在做ctf bugku的一道sql insert盲注的题(题目地址:insert盲注)中踩到的坑,觉得还挺有趣的,于是便有了今天的文章,如有纰漏还望大佬们多多指正。进入主题1. 判断注入点明显的insert类型的注入注入点在X-Forwarded-For,但关闭了错误提示并且没有回显,因此只能进行时间...
基于insert update delete注入利用
qq_45721814的博客
11-10 167
1、先打开pikachu平台,我们之前的所有破解都是select操作的,我们接下来利用insert方法来利用漏洞,那么insert漏洞是什么呢,就是你在前端输入的错误信息会被拼接到后端的insert操作里面去,那么我们可以试一下随便输入一些信息发现它会报错就说明我们的信息是拼接到后端insert操作中的 2、我们可以在数据库中演示insert的操作方法,先自己写一个用户名和密码 然后我们来看一下...
Pikachu SQL注入insert/update注入
SS_liang的博客
01-11 1786
updateXML函数是一种在XML文档中修改或更新指定节点的方法。它在许多编程语言和XML处理库中都有实现。updateXML函数通常接受三个参数:XML文档、XPath表达式和要更新的值。XML文档是要进行修改的原始XML数据。XPath表达式用于定位要更新的节点。它可以是简单的节点路径,也可以使用更复杂的条件和过滤器来选择节点。要更新的值是要设置给节点的新值。当调用updateXML函数时,它会根据XPath表达式找到匹配的节点,然后将其值设置为指定的新值。
SQL注入 (中级篇)Insert注入
热门推荐
weixin_41472455的博客
05-14 5万+
insert注入: 其实对于初学SQL注入,并不需要区分注入类型。 但是要理解insert注入,首先需要理解SQL的insert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
一道综合渗透题引发的updatexml()注入思考
Grey的博客
05-09 1万+
MYSQL数据库updatexml报错注入UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格...
中国科学技术大学软件学院-研究生高级数据库期末复习资料
01-24
2. SQL语言:SQL查询语句的编写,包括SELECT、INSERTUPDATEDELETE操作,以及JOIN、子查询、聚合函数的应用。 3. 数据库设计:概念数据模型到逻辑数据模型的转换,关系数据库的规范化理论,ER图的使用。 4. ...
行业教育软件-学习软件-软件下载_学习软件_等级考试_高程试题中数据库类题1997-2002免费下载.zip
07-31
2. **SQL语言**:SQL是数据库操作的标准语言,用户可能需要掌握SELECT查询、INSERTUPDATEDELETE语句,以及JOIN、WHERE子句,子查询等高级用法。 3. **数据库设计**:包括需求分析、概念设计(ER模型)、逻辑...
php学生管理系统,帮助我复习php知识
12-25
PHP中的mysqli或PDO_MYSQL扩展允许我们执行SQL语句,如SELECT、INSERTUPDATEDELETE,用于查询、添加、修改和删除学生信息。 4. **会话管理**:在登录功能中,会话管理(session)起着关键作用。PHP提供了$_...
软考数据库2012-2021数据库中级考试真题及答案
04-17
1. 数据库基础理论:这部分内容涉及数据模型(如关系模型、网状模型、层次模型)、关系代数、SQL语言的基本操作(如SELECT、INSERTUPDATEDELETE)以及数据完整性(实体完整性、参照完整性和用户定义完整性)。...
ASP基于BS留言板设计与开发(论文+源代码).zip
09-09
2. **数据库交互**:通常会使用ADO.NET进行数据库操作,包括创建数据连接、执行SQL语句(如INSERT、SELECT、UPDATEDELETE)以及使用存储过程等。 3. **HTML/CSS/JavaScript**:前端界面的设计,需要熟悉HTML标记...
mutillidae之Insert注入
weixin_30836759的博客
09-05 137
A1:Insert注入 1、输入内容,确定内容输出位置,确定插入字段顺序 输入test')-- -,页面报错,可知test并非最后一个字段,继续尝试test','123'),页面返回正常,确定test是倒数第二个字段,, 2、test后构造第三个字段来尝试爆数据库数据 test',(select database()))-- -,结果发现第三个字段比较特殊,我们输入的数据库信息都会被替代...
利用SQL注入漏洞登录后台的实现方法
weixin_33834137的博客
01-04 314
利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句 早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。  如今,谈SQL...
基于insert/update/delete注入
北冥有鱼
03-31 7163
之前的数字型,字符型,搜索型,都是通过selecte进行的一个操作,如果是insert/update/delete 需要一个怎样的操作呢 我们直接通过pikachu上的靶场来看一下 这边有一个注册按钮,点一下注册 还是老方法,用单引号确认是否存在注入点 发现返回了错误,说明这里是存在注入点的,我们知道这个地方的后端是用的insert,怎么样利用insert来进行操作呢? 这个地方正常来...
insertupdatedelete 注入方法
黑面狐
11-28 4982
我们常见的注入都是select的查询注入比较多,但是SQL注入在参数没有检查和过滤的时候就会把恶意的数据插入数据库,从而造成SQL注入。 所有说除了查询之外,所有和数据库进行交互的请求都有可能造成注入。如:插入数据,更改数据,删除数据等,所以现在根据网上的技巧汇总一下insertupdatedelete注入方法。 以下均为报错注入,测试数据库版本5.7.21 利用内置函数updatex...
sql注入插入姿势
3569
06-24 1597
1.   ' or 1=1 --+ 2. 联合查询注入  select * from user where username=' | ' union select 1,2,'3dd3eds4c4df44wes'                                                                       union sele
SQL注入实例:避免后端SQL语句拼接操作
李谦的博客
05-23 8839
1 实例-后端逻辑 以下是基于pymysql的一个例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db='user_table', charset='utf-8') cursor = conn.cursor() def query_key...
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
SQL Server 2008:数据操纵实战教程 - INSERT, UPDATE, DELETE & SELECT
1. 操纵数据的重要性:这一章主要探讨了在SQL Server 2008中如何对表进行基本操作,如数据的插入(INSERT)、更新(UPDATE)、删除(DELETE)以及检索(SELECT)。用户可以通过这些操作管理数据,确保数据的准确性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值