i春秋web作业2.27——SQL注入

Web安全工程师(入门班)

【全国线上入门班53期】课后作业

 

2020-2-27

DorinXL

 

1)思考SQL注入采用什么方法植入WebShell?

  • 可以在表中保存木马数据,然后导出库保存文件,删除新建的表。
  • 拥有写入权限时,选择select … into outfile 语句:select A into outfile B,意思是选择a的数据导入b。通过与其他联合语句将shell写入,但是要知道路径。

2) SQL注入能否查看文件?

  • SQL注入可以查看文件,但是有前提条件。
  • 要知道文件的路径,要拥有读写权限,然后通过构造合适的语句来达到查看文件的目的。
  • 使用load_file函数读取

3)思考SQL注入盲注的原理以及利用方法

  • 无法根据报错信息来进行注入判断的情况,称之为盲注。
  • 盲注通过逻辑真假以及是否有返回来判断漏洞存在,然后便是猜测表名、用户名等数据。
posted @ 2020-03-02 10:57  DorinXL  阅读(319)  评论(0编辑  收藏  举报
👨‍💼