摘要: 上一篇讲到可以通过注入得到数据库中所有的表信息 而SQL注入能不能做数据库之外的事情呢? 读取文件: ' union select null,load_file('/etc/passwd') -- 为了方便进行测试,后边我使用Burpsuite 既然可以读取文件了,那么也就可以写文件:比如经典的PH 阅读全文
posted @ 2019-02-11 18:43 4ra1n 阅读(469) 评论(0) 推荐(0) 编辑
摘要: 终于到了SQL注入 最大的、最经典的、最常见的Web漏洞就是SQL注入漏洞 SQL注入的原理这里就不说了,百度 打开DVWA,SQL注入测试模块 测试单引号,发现出错,于是想到测试语句: 1' or '1'='1 成功: 测试是否存在漏洞: 1' and '1'='1 如果返回数据,但是1' and 阅读全文
posted @ 2019-02-11 01:04 4ra1n 阅读(898) 评论(0) 推荐(0) 编辑