1、网站不让我进?
2、警告:声明未成年人不可轻易模仿!可刑
3、MYSQL函数特性是如何被黑客利用的?
--- SQL 注入原理:
账号登录场景:
--- 数据库概述:
--- MYSQL系统库(默认):
MYSQL数据库表结构关系:
需求:拿到这个网站的用户名,密码,然后登录到系统。
网页中id=1处,进行注入点找漏洞:
提交非检查的数据:
select 1, 2, 3, 4
总结本次SQL漏洞注入的步骤:
1.找到id=1 的漏洞网页
2.通过order by找到表中字段数量
3.通过union 联合查询找到字段
4.利用回显点 信息收集
5.拿到账号,密码。利用收集到的数据库名,表名,字段名。