靶机网站实现简单SQL注入

最新推荐文章于 2024-07-22 22:09:32 发布
最新推荐文章于 2024-07-22 22:09:32 发布
阅读量2k 收藏 8
点赞数 3
分类专栏: SQL注入 文章标签: SQL注入 新手教程 数据库安全 网站漏洞 信息获取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47716438/article/details/118751238
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

本次sql注入是没什么难度的,仅供新手参考,作为入门查看

提示:以下是本篇文章正文内容,下面案例可供参考

一、sql注入是什么?

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。

二、注入过程

1.明确SQL注入总体思路

(1)寻找注入点

(2)判断后台数据库类型和服务器的类型

(3)针对不同的数据库和服务器类型构建语句进行注入

2.进行站点分析

看图:

(1)判断注入-最经典的and 1=1

在这里插入图片描述

由上图可以看出,在文章中写入and 1=1 页面依然能够完成返回

(2)判断该表当前页面字段数

在这里插入图片描述

确定注入点后判断该站点当前页面的字段数,用order by可以对字段进行排序,但是必须输入明确的字段数才能成功执行,所以可以借此来判断该表有多少字段。

(3)确定当前页面回显

在这里插入图片描述

确定好字段数后,我们要获取字段的回显,就要知道那些字段是可以出现在屏幕上,那些不可以。

(4)在第三个字段处构建语句,获取库名,字段名,表名。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

注意,这里获取到的信息皆为16进制,需要转码,因为只有十六进制才能有回显。回显解码后可以解出字段名字,到此,我们已经知道了表的名字,表里字段的名字。

(5)到此为止,我们已经可以通过表名和字段名查询到管理员的账号密码了

在这里插入图片描述

经过构建的sql语句可以看到,我们已经获得了用户ID为:1,用户名为:allen 密码为一段加密的值。我们用此网站破解这段加密值就可以得到密码。最终我们获取到了账号和密码。

(6)进入后台看是否能够成功登陆。

在这里插入图片描述
结果:成功登陆,此次sql注入结束;

总结

1.此次注入是很简单的,仅供新手参考,大哥看看就好。
2.关于网站源码有需要的评论区可以管我要。
3.对此有任何不明白的地方,评论区评论,我会解答。

辛徳橘子丶
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
CTF之DC-8 靶机练习(SQL注入)
afei001
08-05 539
  练习环境     攻击机:kali     靶机:DC-8     下载地址:https://download.vulnhub.com/dc/DC-8.zip      1.发现靶机并进行端口扫描 root@afei:~# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.100.130 netmask 255.255.255.0 broadcast.
DVWA靶场环境搭建_SQL注入模拟靶机
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-08 2万+
今天讲DVWA的两个重要方面:DVWA靶场环境搭建以及SQL注入模拟靶机。DVWA介绍:在近些年网络安全的高速发展,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到很多有漏洞的网站去体验,当然渗透一个未经授权的系统是非法的。因此,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,人们将这种用于练习渗透的平台称为“靶场”。DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来
sqli-labs-master-注入学习靶机
01-19
sqli-labs是一个非常好的学习sql注入的一个游戏教程,是一个印度程序猿的搬砖建造的,对于了解sqlmap的原理很有帮助。
Web安全 SQL注入靶场搭建(玩转整个注入环境.)
网络安全领域___专研者.
05-25 5804
SQLI-LABS靶场概括: SQL语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。而Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程.
SQL labs靶场-SQL注入入门
最新发布
2302_80280669的博客
07-22 571
sql注入为入门级的漏洞,现如今已经极为少见,但仍有其典型性。从此开始,便正式进入了黑客的大门。
SQL注入靶机演示)
qq_50646540的博客
09-14 2147
如何安装sqlmap 先安装一个软件,叫sqlmap,用于自动化注入。 下载之后根据需求放进文件夹内,文件夹最好用英文,方便之后创建快捷方式。 将下载下来的sqlmap移动到Python的文件夹下,再在桌面创建快捷方式,将快捷方式的目标改为cmd,起始位置就是Python文件下的sqlmap。完成后可以先测试一下。 在快捷方式的界面,输入sqlmap.py -h,有下图的结果就是装好了。 安装好之后就可以开始使用了。 首先,去找一个有漏洞的网站试手,我这边是学校里的靶机。 先进行一个测试,在网址后面加
sql注入 练手网站_靶场sql注入练手----sqlmap篇(纯手打)
weixin_36352432的博客
12-23 350
靶场地址:封神台方法一、首先尝试手工找注入判断第一步,判断是否存在sql注入漏洞构造 ?id=1 and 1=1 ,回车,页面返回正常构造 ?id=1 and 1=2 ,回车,页面不正常,初步判断这里 可能 存在一个注入漏洞第二步:判断字段数构造 ?id=1 and 1=1 order by 1 回车,页面正常构造 ?id=1 and 1=1 order by 2 回车,页面正常构造 ?id=1...
渗透测试靶机实战-SQL注入getshell
yummy11111的博客
07-18 881
SQL注入getshell靶机实战
DVWA靶机sql注入
qq_43623470的博客
01-16 2523
1,将dvwa的安全等级改为low 2,查看源代码,发现没有过滤 3,输入1,判断注入类型是数字型还是字符型 发现返回,得知是数字型。 4,1’ 报错得知存在注入 5,输入1’ order by 1# 6,输入1’ order by 2# 7,输入 1’ order by 3# 报错,得知字段不超过3。 8,输入 1’ union select 1,2# 返回1和2 9,输入 1...
sql注入靶场.zip
06-24
SQL注入是一种常见的网络安全漏洞,它发生在应用程序未能充分验证或过滤用户输入的数据,导致恶意SQL代码被插入到数据库查询。这个"sql注入靶场.zip"文件包含了一个名为"sqli-labs-master"的靶场,旨在帮助学习者...
sqli-labs-master.zip sql注入的学习靶机
01-18
sql注入的学习靶机,由于github经常挂,这里特提供大家下载。
SQL漏洞手工注入(靶场:sqli-labs-master)
weixin_63350378的博客
10-01 1247
一次简单sql注入分享
cengbox靶机SQL注入、文件上传漏洞)
m0_66299232的博客
11-23 571
将python -c 后面的利用即可因为md5check.py文件本身就是python脚本。4.抓包后看到提示,让上传一个后缀为ceng的文件,那就把木马改成weiqin.ceng。用SHELL=bash script -q /dev/null 回弹 ,还是上传我们的php-reverse-shell.php 文件,7.开启监听成功反弹shell 发现是root 成功拿下!2.发现‘or 1=1--' 可以注入成功 并且登录进去。7.回弹shell成功,发现是一个普通用户。SQL注入、文件上传漏洞
Sql注入(Mituan靶机环境)
weixin_45728648的博客
08-13 503
一、Miyuan环境网址 https://mituan.zone/#/login 注册: 登录: 配置环境 注:环境持续4小时若想长时间使用在还剩一小时时续时 击Setup/reset Database for labs配置环境 如出现下图,即为成功 ...
NCNIPC--皮卡丘web靶场SQL注入(字符型注入)
03-16 5166
我们打开我们的靶场,我们带着同学简单练习一个字符型注入(get),SQL-Inject,击字符型注入(get),我们直接就测试一下输入1’如图所示。 击“查询”按钮后,回显出报错了,报错信息为“You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘‘1’’’ at line 1”。 这
sql注入靶场
weixin_45095113的博客
11-27 387
SQL注入靶场
SQL手工注入(MySQL数据库)详解---靶机(墨者学院)
CSDN_caiqian的博客
03-02 4632
SQL手工注入详解一、判断是否存在注入二、Mysql数据库基本结构三、information_schema 简述 一、判断是否存在注入 如果页面MySQL报错,证明该页面存在SQL注入漏洞: 单引号 ’ ----> 页面错误 and 1=1 ----> 页面正常 and 1=2 ----> 页面错误 二、Mysql数据库基本结构 MYSQL数据库   数据库A=网站A=数据库用户A     表名           列名              
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 1879
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
dvwa靶机sql注入
08-04
DVWA靶机SQL注入是一种安全漏洞,攻击者可以通过构造恶意的SQL语句来绕过应用程序的验证和过滤机制,从而获取未授权的访问权限或者获取敏感信息。根据引用[1]和引用[2]提到的内容,DVWA靶机SQL注入分为...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辛徳橘子丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值