1、网站不让我进?
2、警告:声明未成年人不可轻易模仿!可刑
3、MYSQL函数特性是如何被黑客利用的?

--- SQL 注入原理:

账号登录场景:

--- 数据库概述:

--- MYSQL系统库(默认):

MYSQL数据库表结构关系:

需求:拿到这个网站的用户名,密码,然后登录到系统。

网页中id=1处,进行注入点找漏洞:


提交非检查的数据:






select 1, 2, 3, 4









总结本次SQL漏洞注入的步骤:
1.找到id=1 的漏洞网页
2.通过order by找到表中字段数量
3.通过union 联合查询找到字段
4.利用回显点 信息收集
5.拿到账号,密码。利用收集到的数据库名,表名,字段名。
