03 2022 档案

第八篇 sqli-lab实战练习(Less11-Less21)
摘要:Less-11 基于错误单引号 目标 1. 学会使用POST进行参数注入 2. 获取数据库信息 通过控制台,查看提交的参数 假设uname存在注入,输入:uname=' or 1=1 admin&passwd=123456,发现报错 说明存在注入,因为是字符串,发现注释符 # 和 --+ 都可以,这 阅读全文
posted @ 2022-03-21 22:56 垒月 阅读(139) 评论(0) 推荐(0) 编辑
第七篇 sqli-lab实战练习(Less-1 到 Less-10)
摘要:Less-1 基于错误字符串单引号注入 目标 获取数据库名,表名,列名,数据 输入:http://www.sqllabs.com:7080/Less-1/?id=1' 注释符确认:通过输入#,--+,/**/,%23,http://www.sqllabs.com:7080/Less-1/?id=1' 阅读全文
posted @ 2022-03-19 18:20 垒月 阅读(142) 评论(0) 推荐(0) 编辑
第六篇 SQLMap的使用
摘要:功能 支持五种注入技术:Boolean-based blind,Time-based blind,Error-based,UNION query-based,Stacked queries 支持指纹和枚举 基本使用 获取数据库信息 根据目标网址进行查询:python sqlmap.py -u "ht 阅读全文
posted @ 2022-03-13 22:21 垒月 阅读(141) 评论(0) 推荐(0) 编辑
第五篇 SQL注入基础知识
摘要:1 什么是SQL注入 一种将SQL语句插入到用户输入的参数中,进行攻击,这些会通过后端服务器传入到SQL服务器,执行对应的SQL语句,比如可以获取数据库信息、用户信息、管理员权限等 2 常见的SQL注入技巧 2.1 识别数据库类型 常见的数据库类型有:Oracle、MySQL、SQL Server、 阅读全文
posted @ 2022-03-13 16:33 垒月 阅读(127) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示