Sql注入之做post注入

最新推荐文章于 2024-10-17 19:57:03 发布
最新推荐文章于 2024-10-17 19:57:03 发布
阅读量1.2k 收藏 8
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50205723/article/details/108686021
版权

一、登录做注入的平台(学校靶机)

在这里插入图片描述
可以看到url没有出现应该是post传参

二、使用burp suite进行抓包

1、将浏览器换为proxy连接

2、点击页面会与数据库交互的位置得到包

在这里插入图片描述

3、选择post数据得到网页具体数据

在这里插入图片描述

三、将抓包得到的数据放在一个txt文件中并放在sqlmap文件下

在这里插入图片描述

四、使用sqlmap进行爆破

1、输入sqlmap.py -r 2.txt --batch

在这里插入图片描述
其中1.txt是刚刚保存的文件,batch可以对一些选项自动选择的设置;而-r可以对http进行自动连接

2、输入sqlmap.py -r 1.txt --dbs可以得到数据库

在这里插入图片描述

3、输入sqlmap.py -r 1.txt -D faka --tables得到页面所在数据库的所有表在这里插入图片描述

4、选择你认为可能存在管理员账号和密码的表(或者全部表测试一遍)输入sqlmap.py -r 1.txt -D faka -T ayangw_config (这是你选择的表)–columns得到表的列

5、根据列跑出具体字段值得到管理员账号和密码

五、进入管理员登录页面

1、使用robots.txt发现无法得到敏感信息猜测登入界面为login.php在http后面填入发现可以进入

在这里插入图片描述

2、使用御剑进行攻击获得

参考高人博客
具体操作方法

六、进入后台找到上传文件位置上传一个webshell.php文件

在这里插入图片描述

七、进入前台找到上传文件所在获得文件上传的绝对路径之后如我前面博客一般放入蚁剑获得服务器后台目录

找文件上传所在一般比较不好找,需要自己多多查找并且加以猜测尝试

糟糕,世界
关注
SQL注入POST注入
studyphp123的博客
04-23 1306
一、预备知识 二、实验目的 三、实验工具 浏览器、Burpsuite 四、实验环境 客户机一台 五、实验步骤 第一步:访问 http://www.any.com/sqli/Less-11/,页面正常。 第二步:加入单引号会报错。 1)打开 burpsuite,界面如下: 2)打开 Firefox,选项 -> 高级 -> 设置-> 手动配置代理 3)访问 http:/...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入post注入
banliyaoguai的博客
05-21 1224
GET请求的参数是通过URL传输的,而URL的长度往往被浏览器所限制,通常为2048个字符,因此GET请求的参数传输长度是被限制的。GET请求可以被缓存,因为GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,可以使用缓存来提高性能。POST请求不是幂等的,多次相同的POST请求会对服务器的状态产生影响,可能会改变服务器的数据。GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,不会改变服务器的数据。GET请求通过URL的请求行来提交数据,这些数据在URL中是可见的。
SQL注入
最新发布
Taurus_HanKun的博客
10-17 1016
web程序对用户提交的参数没有过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了sql语句原有的逻辑,黑客就可以利用这个漏洞执行任意sql语句,比如增删改查。联合查询注入是两个表进行注入攻击,使用关键词union select 对两个表进行联合,两个表的字段数量要一样,不然会报错。在发现有可控参数的地方使用sqlmap进行SQL注入检查,简单的可以手工测试,利用单引号、and 1=1 和 1=2。因为1=1是真,所以会返回id是1的结果。当用户传入的参数1 and 1=1时。
SQL注入---POST注入
zhoutong2323的博客
04-07 1232
在Webshell文章中介绍过post提交和get提交的区别,这里不再赘述get方式提交URL中的参数信息,post方式则是将信息保存在HTTP请求的body中传递get提交的参数可以被缓存并会保留在浏览器的历史记录里,post提交不会。get提交最长2048个字符,而post提交没有长度限制综上所述,post方式提交的数据保密性更强,因此登录界面输入的账号密码信息常用post方式提交。
SQL-Post注入
Code-5的博客
04-17 458
在登录过程中,输入用户名和密码,用户名和密码以表单的形式提交,提交到服务器后服务器再进行验证。这就是一次post的过程的。在输入正确的用户名和密码后显示尝试会不会回显报错信息,输入admin'--+,回显报错了。尝试万能密码 admin’or’1’='1# ,成功登录并且回显信息。尝试联合注入显示数据库名了。
Sql注入-POST注入
purvispanwu的博客
12-19 2911
sql注入,网络安全
sql注入 pikachu post数字型注入
08-12
SQL 注入 Pikachu Post 数字型注入 SQL 注入是一种常见的 Web 应用安全漏洞,攻击者可以通过在输入字段中注入恶意的 SQL 语句来获取或修改敏感数据。在本文中,我们将探讨一种新的 Post 数字型注入方法,即使用 ...
php中$_GET与$_POST过滤sql注入的方法
10-25
在本主题中,我们将关注如何使用addslashes_deep函数来过滤$_GET与$_POST数据以防止SQL注入。这个函数可以递归地对数组进行处理,对数组中的每个元素使用addslashes()函数进行转义。这是一个更加深入和全面的过滤...
Nginx中防止SQL注入攻击的相关配置介绍
01-10
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号’ , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite...
ASP.NET防止SQL注入的方法示例
01-20
POST请求通常用于提交表单数据,但这里省略了POST方式的处理,可能是因为GET请求中的URL参数更容易受到SQL注入的影响。 3. **检查URL参数**: 对于GET请求,可以调用`ValidUrlGetData()`方法,该方法遍历`Request....
sql注入--POST注入
pakho_C的博客
01-04 4476
sql注入POST注入 靶场:sqli-labs-master 下载链接:靶场下载链接 POST和GET的区别 GET提交的数据会显示在URL中,POST则不会。这是最显而易见的差别。这点意味着GET更不安全(POST也不安全,因为HTTP是明文传输抓包就能获取数据内容,要想安全还得加密) GET回退浏览器无害,POST会再次提交请求(GET方法回退后浏览器再缓存中拿结果,POST每次都会创建新资源) GET提交的数据大小有限制(是因为浏览器对URL的长度有限制,GET本身没有限制),POST没有 GET
sql注入-post
weixin_45007073的博客
01-02 1294
打CTF比赛的时候,sql注入算是比较常见的题型,今天来记录一下基于靶机的post注入。 准备工作 靶机下载: 链接:https://pan.baidu.com/s/1o8-25n0LtDTk2w_SgOT2og 提取码:zlqz 攻击过程 使用netdiscover发现存活主机 netdidscover -i eth0 使用nmap进行主机服务检测 发现目标主机开放了80、8080等端口 使用nikto进行信息收集 nikto -host http://192.168.101.34
sql注入post注入
forwardss的博客
03-05 512
http://192.168.186.157/sqli-labs/Less-11/ 1、判断是否能够注入 uname=admin’# &passwd=&submit=Submit 2、.判断所在的数据库有几列 uname=admin’ order by 2#&passwd=&submit=Submit 3、显示位数 uname=1 admin’ union sel...
SQL注入 - POST注入方法
HAKUNAMATATATTA的博客
08-30 1048
SQL注入-POST注入方法教学
SQL注入POST型常规注入
热门推荐
Jim的博客
08-14 1万+
less11单引号字符型注入 注入:test' or 1=1 #&password=test sql语句:select username, password from users where username='test' or 1=1 #' and password='test' limit 0,1; 注入:uname=test&passwd=test' or '1'='1 sql语句:
SQL注入原理-POST注入
T1ngSh0w的博客
09-17 5256
SQL注入原理-POST注入
SQL注入POST注入和HEAD注入
qq_68233961的博客
07-10 1377
SQL注入POST注入和HEAD注入
SQL注入攻击详解与防御策略
SQL注入攻击与防御技术白皮书深入探讨了网络安全领域中一个严重的问题——SQL注入攻击。这种攻击方式主要针对使用数据库的应用程序,尤其是那些基于动态网页的系统。SQL注入攻击的原理是通过在用户输入的数据中嵌入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值