SQL注入
文章平均质量分 52
小野猪都有白菜拱
我可不懒
展开
-
Less-1(sqlmap自动注入攻击)--sqli
表明有四种注入漏洞:boolean-based blind,error-based,time-based blind,UNION query。指定用于身份验证的cookie进行注入测试。打开火狐浏览器,进入sqli第一关的页面。尝试获取操作系统级别的shell访问权限。指定POST请求的数据进行注入测试。查看结果发现,可以访问到名字和密码。遇见[y/n]都直接回车跳过,得到。设置测试的深度级别(1-5)设置测试的风险级别(1-3)获取数据库管理系统的信息。获取数据库中表的信息。获取数据库表中的数据。原创 2024-01-28 12:37:30 · 543 阅读 · 0 评论 -
Pikachu--字符型注入(get)
1' union select 1,database() # 当前数据库。输入 1' and '1'='1 正确结果 判断为字符型注入。发现1和2的位置都可以正确回显,1,2地方使用联合注入。输入vince' order by 1# 返回正确。输入vince' order by 2# 返回正确。输入1' and '1'='2 错误结果。输入 vince' order by 3#解密为:123456。解密为:000000。解密为:abc123。原创 2024-01-03 19:45:15 · 485 阅读 · 0 评论 -
Pikachu--数字型注入(post)
发现密码被md5加密了,我们通过md5在线转换网站(https://www.cmd5.com/)获得。得到表名有:httpinfo,member,message,users,xssblind。6)id=1 and 1=1 回显正常,存在注入点,验证了数字型注入。4)用单引号“’”,判断有无注入点,再点击Send获取结果。2)打开foxy代理,输入值“1”进行bp抓包。5)输入id=1 and 1=2 返回结果报错。判断返回结果有2列,返回3列报错,说明有2列。3)将这个获取的包转发到Repeater中。原创 2024-01-03 19:40:37 · 439 阅读 · 0 评论 -
Vulnerability: File Upload(Medium)--MYSQL注入
2.下载BurpSuiteCommunit软件:百度搜索“burp suite官网” 下载地址www.portswigger.net/burp/1.打开BurpSuiteCommunit软件,把intercept is off 打开,获取流量包。3.上传“一句话木马.php”,再点击Upload,获取到流量包。2.选择模式,这里我们选择 文件上载的中级模式(Medium)最后,可能还有不知道这个值是哪里来的,为什么要写这个值?3.打开火狐浏览器,下载扩展“Foxy”1.打开DVWA,并登录账户。原创 2023-12-08 11:13:51 · 344 阅读 · 0 评论 -
Vulnerability: File Upload(low)--MYSQL注入
设置->病毒和威胁保护->“病毒和威胁保护”设置,点击管理设置->翻到最下面,找到“排除项”-点击添加或删除排除项。1.在Vulnerability: File Upload页面上传“一句话木马.php”下载中国蚁剑(设置空目录要设置在antSword-master下)2.选择模式,这里我们选择 文件上载的最低级模式(low)这个就是上传路径,../表上一级目录。1.打开DVWA,并登录账户。将这个粘贴到,再获取他的地址。在vsc里面写个一句话木马。2.打开蚁剑,右击鼠标。原创 2023-12-08 08:57:56 · 458 阅读 · 0 评论