![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
SQL注入
文章平均质量分 79
大白Tang
这个作者很懒,什么都没留下…
展开
-
万字干货,独家分享--SQL注入看这一篇就可以了!
前言SQL注入的攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。可显注入攻击者可以直接在当前界面内容中获取想要获得的内容。报错注入数据库查询返回结果并没有在页面中显示,但是应用程序将数据库报错信息打印到了页面中,所以攻击者可以构造数据库报错语句,从报错信息中获取想要获得的内容。盲注数据库查询结果无法从直观页面中获取,攻击者通过使用数据库逻辑或使数据库库执行延时等方法获取想要获得的内容。Mysql 手工注入联合注入?id=1' order by 4--+?原创 2021-07-08 16:52:58 · 527 阅读 · 0 评论 -
如何用SQL注入进教务系统-看暗恋的妹子选了什么课?
前言此次渗透测试较为基础,有很多不足的地方,希望各位大佬能够指正首先打开学校的官网:http://www.xxxx.edu.cn 嗯,直接干。。。这里直接进行子站查找,一般主站不会让你打进去的(大佬当我没说 …),进行了一番查找,找到了一个学校的图书馆系统需要学号和密码 学号一般通过谷歌语法来搜集就可以 默认密码打一发123456一发入魂,然后想到固定密码然后跑一发学号这样准确率会高很多根据学号推测 例如 2019** 一般是根据 入校年数+专业+班级+**来设定的,随后按照猜想 构造学号原创 2021-07-04 15:50:49 · 754 阅读 · 2 评论 -
实战 | 攻防演练中某市医院的SQL注入
前言这次演习中打算搞一手医院。虽然漏洞已上报,但还是会打码。攻击手法:SQL注入攻击瓶颈难点:1.主站1.sqlmap无法读取数据表2.无法使用os-shell来getshell3.网站找不到绝对路径,sql-shell没法写shell2.医院综合查询系统有DBA权限但是不能os-shell。网站找不到绝对路径,sql-shell没法写shell大家有好思路可以评论一起交流一下哈。实战过程1.日常目测一波:看到搜索框来试试SQL注入和XSS输入个“单引号”直接中奖,真原创 2021-05-25 17:12:38 · 1360 阅读 · 6 评论