sql注入
关注
分享
扫一扫
文章平均质量分 59
N03RR0R
111
展开
-
DVWA sql注入-HIGH
1.判断是否存在sql注入漏洞看到Click [here to change your ID]页面做了自动跳转,防御了自动化的sql注入出现报错,存在sql注入2.判断注入漏洞的类型不是数字型注入可以看到这个为字符型注入3.猜解数据库猜解并验证列数数据库字段为2获取数据库信息查询用户名和数据库名爆表名爆出users中的字段名获取字段中的user和password...原创 2021-05-26 00:59:01 · 271 阅读 · 0 评论 -
DVWA sql注入-MEDIUM
1.判断是否存在sql注入漏洞可以看到不是get型数据提交方式了,查询数据也变成了下拉表单的方式。burpsuite抓包吧那就常规判断有无注入及其类型推测有转义符转义为数字型注入数据库字段为2获取数据库信息1'union select version(),@@version_compile_os#查询用户名和数据库名1 union select database(),user()#爆表...原创 2021-05-25 01:45:30 · 577 阅读 · 0 评论 -
DVWA sql注入-LOW
1.判断是否存在sql注入漏洞出现报错,说明存在sql注入漏洞,无论是字符型还是整形都会因为单引号个数不匹配而报错。如果未报错则未必存在sql注入,有可能存在对输入内容的过滤,采用其他方法判断是否存在注入。2.判断注入漏洞的类型分为两种:数字型和字符型。这是数据库本身存储数据时赋予给数据的类型。先判断是否为数字型:输入1 and 1 = 1页面运行正常输入1 and 1 = 2页面也运行正常 分析: 如果查询语句为数字型的话...原创 2021-05-23 20:45:19 · 658 阅读 · 2 评论