sql注入 小白入门学习笔记(三)

最新推荐文章于 2025-04-16 12:02:24 发布
原创 最新推荐文章于 2025-04-16 12:02:24 发布 · 207 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了读取和写入文件的技巧,包括解决路径问题、设置全局变量及使用union select进行查询。同时,探讨了如何通过SQL注入创建恶意文件,揭示了潜在的安全威胁。

主要是学习了读写文件的方法。

读取文件:

在这里插入图片描述

注意这里都要两个反斜杠,就因为这两个反斜杠,我以为是数据库的问题,卸载了xampp,装了PHP study。

发现这个问题是使用另外一个语句:

在这里插入图片描述

在路径错误的时候会显示完整路径,然后我才发现问题原来是反斜杠。

当然,在使用这些语句是有有前提的:

权限足够高,全局变量(global_secure_file)不为NULL

在设置的时候直接加入语句:global_secure_file= 就可以了,等于什么也不需要写。

在这里插入图片描述

要显示这样就可以了。

然后具体使用查询的话就用union select 就好了。

如:

在这里插入图片描述

ps:union select 前面的选择必须要报错才会显示后面的报错,注意构造。

pps:在使用union select 之前还是要使用order by 来判断查询的字段数哦,并且使用order by的时候前面的语句必须要正确,因为本质还是一个语句,而union select 相当于两个。

在这里插入图片描述
这个 123 就是我文件里面的内容

然后就是写入文件(shell),我觉得黑客给别人应该不会写个杀毒软件进去23333,所以我们就假定写入的文件叫做shell吧

语句:在这里插入图片描述

不过要注意要先把general_log set成 on

语句 : set global general_log=on

在这里插入图片描述
这个插入的内容则是你选择(select)的部分,地址就是你植入文件的地址。

比如:在这里插入图片描述
这样语句,然后就会有一个shell.php的文件产生,就像这样:

在这里插入图片描述
然后如果这个shell文件真的是个shell的话,比如一句话木马,那么我们就可以用菜刀或者蚁剑打开,为所欲为了…

本文系作者原创,若有错误恳请斧正,不胜感激。

LovelyLucy
关注
SQL注入漏洞复现:探索不同类型的注入攻击方法
weixin_43263566的博客
08-26 2216
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
SQL注入漏洞的检测及防御方法_如何测试sql注入漏洞(1),阿里面试官必问
2201_75863152的博客
04-18 432
最重要的是,保持对新的安全威胁和最佳实践的了解,以及定期审查和改进应用程序的安全性。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。OWASP ZAP:开源的漏洞扫描工具,包括SQL注入检测功能,是OWASP项目的一部分。SQLMap:专门用于检测和利用SQL注入漏洞的工具,具有强大的功能和选项。
sql注入学习总结
weixin_44232532的博客
02-20 458
sql注入综述 一直没有时间整理sql注入的相关知识,很多东西学习后都很容易忘记,今天在博客上整理好,希望能够加深自己的印象,后期也会在本文章中更新自己新学到的相关知识。 手工注入 手工注入还是以sqli-labs-master靶场实验环境为演示对象。 一.SQL注入常用命令-union联合查询 union 操作符用于拼接两个或者多select查询语句 union中的每个查询必须拥有相同的...
mysql如何查询有两个反斜线(\\)的数据记录
weixin_34279184的博客
06-17 741
我们大家都知道,需要查询某一字段值包含指定字符串可以使用like和通配符实现,例如,查询users表中username字段值包含"php"的用户,可以这样实现: select *from users where username like '%php%' 但如果要查询username字段值包含""的用户,该如何写SQL呢,当然也是使用like和通配符实现。 这里我们先来了解一下mysql中的反斜线...
SQL注入速查表
ww564的博客
11-09 513
过滤and or 十六进制绕过 or ——> o\x72 大小写绕过 Or aNd 双写绕过 oorr anandd urlencode,ascii(char),hex,unicode编码绕过 一些unicode编码举例: 单引号:' %u0027 %u02b9 %u02bc %u02c8 %u2032 %uff07 %c0%27 %c0%a7 %e0%80%a7 关键字内联注释尝试绕所有 /*!or*/ /*!and*/ 左括号过滤 urlencode,ascii(char),hex,unicod
如何学习SQL注入基础以及深入研究
weixin_43639741的博客
05-20 1036
NetSPI SQL Injection Wiki<SQL注入学习基础篇> 这个wiki的使命是成为一站式资源,用于在各种数据库管理系统(DBMS)中完全识别,利用和升级SQL注入漏洞。这个wiki假设您对SQL注入有基本的了解。 如果你英语不好推荐使用Google浏览器的网页翻译插件,可以自动翻译 但是如果你需要阅读SQL语句,推荐改为英文阅读即可 已中文翻译 未翻译 该WI...
sql注入 小白入门学习笔记(六)
mastergu2的博客
07-10 554
学习了利用函数updatexml报错的方法进行注入。 在这里首先介绍updatexml函数的用法。 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第个参数:new_value,String格式,替换查找到的符合条件的数据 然后给出我们报错所使用的语句:
sql注入--入门笔记1
zzhi_spirit的博客
11-22 842
sql注入--入门笔记1
sql注入--基本注入语句学习笔记
热门推荐
超人学飞的日子
05-31 1万+
接触到sql注入知识,做了一些常识,这里做一个完整的记录。一,联合查询联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。二,注释语句sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。1,#注释符此时后面的limit 0,30并没有生效。2,--空格注释符 注意在--后面有个空格,否则会报错,不...
0 基础小白也能懂的 SQL 注入学习秘籍,从入门到精通实战全解
Cairo_A的博客
04-16 878
本文来讲讲有关SQL注入相关的知识点会尽可能详细的写出来,比较适合刚入门安全的小白进行学习,希望能在面试或实战中助你一臂之力。如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!
MybatisPlus小白入门学习干货!!
m0_73612206的博客
10-08 2246
MybatisPlus小白入门学习干货!!
SQL笔记纯干货
jam433的博客
08-29 2072
DDL语句(数据定义语句), DML语句(数据操作语言), DQL语句(数据查询语言), 查询操作, 多表详解, 多表查询, 窗口函数, 拓展: upsert, sql注入攻击演示, 拆表
java资源之Mybatis基础入门学习笔记,详细解析,适合新手,第二天进阶笔记
10-29
`${...}` 是简单的字符串替换,它会将动态内容直接拼接到 SQL 语句中,可能导致 SQL 注入问题,降低系统安全性。而 `#{...}` 则是预编译参数,它以占位符形式生成 SQL,能有效防止 SQL 注入,是推荐的使用方式。 在...
小白怎么入门SRC漏洞挖掘(内附学习笔记)_src漏洞挖掘培训
abao6690的博客
06-06 864
小白怎么入门SRC漏洞挖掘(内附学习笔记)_src漏洞挖掘培训
(Kriging-NSGA2)克里金模型结合多目标遗传算法求最优因变量及对应的最佳自变量组合研究(Matlab代码实现)
12-16
(Kriging_NSGA2)克里金模型结合多目标遗传算法求最优因变量及对应的最佳自变量组合研究(Matlab代码实现)
中国统计NJ数据-主要农作物种植结构(截至2024年底).xlsx
12-16
中国统计NJ数据-主要农作物种植结构(截至2024年底).xlsx
浏览器 12.4.0 安装包
12-16
浏览器 安装包 版本号 12.4.0。
水下图像处理指标(uicm,uism,uiconm,uiqm)和图像处理指标(psnr,ssim)研究(Matlab代码实现)
最新发布
12-16
水下图像处理指标(uicm,uism,uiconm,uiqm)和图像处理指标(psnr,ssim)研究(Matlab代码实现)内容概要:本文围绕水下图像处理指标(uicm, uism, uiconm, uiqm)和通用图像质量评价指标(psnr, ssim)展开研究,重点介绍了这些指标的理论基础、计算方法及其在图像增强与复原效果评估中的应用。文中提供了完整的Matlab代码实现,便于读者复现和验证不同算法对水下图像质量的影响,帮助科研人员定量分析图像处理算法的有效性。; 适合人群:具备一定图像处理基础知识,熟悉Matlab编程,从事计算机视觉、海洋探测、水下机器人等相关领域研究的研究生或科研人员。; 使用场景及目标:①评估水下图像增强算法(如颜色校正、去雾、对比度提升)的质量;②比较不同图像复原模型的性能差异;③为水下视觉系统提供客观的图像质量评判依据; 阅读建议:建议结合Matlab代码逐段理解各指标的实现逻辑,自行导入实际水下图像进行测试,并对比主观视觉效果与客观指标数值之间的关联性,以深入掌握指标的应用边界与局限性。
【嵌入式AIoT】基于边缘智能的轻量化模型部署:STM32与TensorFlow Lite Micro实现手势识别系统
12-16
内容概要:本文系统讲解了嵌入式AIoT从概念到边缘智能落地的全流程,涵盖关键概念如嵌入式AI、AIoT、边缘计算、模型量化与硬件加速,深入剖析模型轻量化、数据预处理优化、任务调度与跨平台部署等核心技术。通过STM32结合TensorFlow Lite Micro实现手势识别的完整案例,展示了从模型训练、量化、移植到MCU端推理的代码级实现,突出低延迟、低功耗的实时性设计,并探讨工业预测性维护、智能家居、农业监测和可穿戴设备等典型应用场景。最后展望了自动化压缩工具链、多模态融合、端云协同学习与超低功耗AISoC等未来方向。; 适合人群:具备嵌入式系统基础、熟悉C/C++与Python编程,有一定AI背景的1-3年经验开发者或物联网、智能硬件工程师。; 使用场景及目标:①掌握在资源受限设备上部署轻量AI模型的核心方法;②理解边缘智能系统的软硬件协同设计逻辑;③实现从传感器数据采集到本地AI推理的端到端开发;④应用于工业、家居、农业、健康等领域的智能化产品开发。; 阅读建议:建议结合STM32开发板与MPU6050传感器动手实践文中代码案例,重点关注模型量化、TFLM集成与RTOS任务调度部分,调试推理延迟与内存占用,深入理解边缘AI的性能优化策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值