sql注入
关注
分享
扫一扫
Benjiamin D
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
sql注入————sqlmap自动化注入
一、sqlmap介绍 1.1 sqlmap支持的5中注入类型 1.2 sqlmap目录介绍 1.3 sqlmap常用参数 sqlmap是一款免费开源的sql自动化注入工具 官网下载地址:http://sqlmap.org/ 1.1 sqlmap支持的5中注入类型 1.布尔盲注检测 2.时间盲注检测 3.错误注入检测 4.union注入检测 5.堆叠查询检测 1.2 sqlmap目录介绍 extr...原创 2020-02-23 04:26:38 · 1721 阅读 · 0 评论 -
sql注入——HTTP头部注入
HTTP请求头内容 POST(请求方式) /sqli-labs/Less-18/(请求目标资源) HTTP/1.1 (协议版本) Host: 192.168.0.63(目标主机) User-Agent: Mozilla/5.0 (X11; Linux x86_ 64; rv: 73.0) Gecko/20100101 Firefox/73.0 (客户端浏览器版本) Accept: text/ht...原创 2020-02-22 04:32:35 · 1043 阅读 · 0 评论 -
sql注入——利用burpsuite进行post注入
实验环境: sqli-labs、firefox、burpsuite 将浏览器代理设置为127.0.0.1 端口设置为8080 burpsuite进行post注入 1.打开Burpsuite代理拦截。 2.打开sqli-labs的Less-11进行登录操作 这里我们可以看到拦截到了登录的账号和密码。 3.点击右键选择send repeater(或者按crtl+r)发送给Repeater。然后打...原创 2020-02-21 23:23:36 · 8633 阅读 · 0 评论 -
windows下安装sqli-labs
sqli-labs是sql注入下的一个测试环境。 SQLi Labs环境采用的是经典的Apache+MySQL+PHP,大家可以直接下载集成环境软件完成环境的部署。目前比较流行的有phpStudy、Wampserver、XAMPP和AppServ,个人推荐使用phpStudy,因为它是绿色版无需安装且比较适合新手使用。当然了,几款也不错。安装好以后启动服务器(以phpStudy为例),然后在浏览...转载 2020-02-21 14:51:00 · 768 阅读 · 0 评论 -
sql注入——盲注
什么是盲注 sql盲注是sql注入的一种。他和普通sql注入的原理相同;不同的是在普通sql注入时,页面会返回一些错误信息提供给攻击者判断,便于攻击者,而sql盲注则不会提供错误页面,增大了攻击者的难度。 盲注的思路 无法通过错误信息判断结果,但可以根据逻辑真假的不同结果来判断。 盲注分类: 1.布尔盲注 根据注入信息只会返回ture和false。根据结果判断是否和自己输入的值一直从而拆解出完整的...原创 2020-02-21 05:05:15 · 330 阅读 · 0 评论 -
sql注入——登录密码绕过原理(基于错误的注入)
在登录窗口我们输入用户名和密码后,在数据库查询中的sql语句为 select * from user where username='用户名' and password='密码'; 我们在登录框输入的内容都会传到用户名这个位置,在密码框输入的内容都会传到密码这个位置。我们输入账号、密码的时候是并没有输入引号,但在数据库查询的时候却自动添加了一个引号。因此我们可以借助这个自动添加的引号来执行密码绕...原创 2020-02-20 22:34:35 · 2112 阅读 · 0 评论 -
sql注入——手工注入mysql数据库
手动sql注入流程: 1.判断注入点 2.判断字段数 3.判断可显字段位置 4.爆库名 5.爆表 6.爆字段 7.爆内容 实验环境 渗透网站:www.abc.com (已查明没有此网站,这里只是举个例子) www.abc.com?id=123 是该网站的后台提交页面。 此次查询的字段数是4个。数据库=gov,表=admin,username=root,password=123456. 思路:我...原创 2020-02-20 01:05:53 · 670 阅读 · 0 评论