XiaodiSec day024 Learn Note 小迪渗透学习笔记

XiaodiSec day024 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day24 sql injection

知识点

脚本代码与数据库前置只是

access 数据库注入

mysql 数据库注入

前置知识

开始

数据库类型不同,流程会不同

access 和 asp 目前使用量较少,实战中不容易碰到

漏洞产生根本条件:特定变量,特定函数

网址最后有参数为可注入,如果没有参数则抓包,考虑是否通过其他方式提交

注入语句位置

位置应当与有注入的字段相关

sql 注入工具流程

  1. 猜测数据库类型

    如 asp 配 access

  2. 采取攻击流程

order by 查询列数量

23 报错说明有 22 个

union 1-22 form admin

access:

暴力破解无果可尝试偏移注入

随机的爆

mysql:

一个网站对应一个数据库

统一管理

最高权限 root

用户思路:

非 root 用户- 常规猜解

root 用户 - 文件读写操作,跨库查询注入等

如何判断当前用户是否为 root

白盒直接看配置文件,黑盒用 user()

mysql5.0 以上版本 有自带数据库 information_schema, 其下的 columns, schemata 表很有用

获取数据库相关信息 :

--version 是否有 information_schema

-user() root 用户

-@@version_compile_os 看操作系统是否支持大小写

-database()数据库名字

复制代码
https://www.crfbehavioralhealthcare.org/researchDetails.php?id=MS==
相关推荐
明月5664 小时前
Oracle 误删数据恢复
数据库·oracle
_Kayo_4 小时前
VUE2 学习笔记6 vue数据监测原理
vue.js·笔记·学习
chenchihwen4 小时前
大模型应用班-第2课 DeepSeek使用与提示词工程课程重点 学习ollama 安装 用deepseek-r1:1.5b 分析PDF 内容
人工智能·学习
超浪的晨4 小时前
Java UDP 通信详解:从基础到实战,彻底掌握无连接网络编程
java·开发语言·后端·学习·个人开发
使二颗心免于哀伤6 小时前
《设计模式之禅》笔记摘录 - 10.装饰模式
笔记·设计模式
悠哉悠哉愿意6 小时前
【电赛学习笔记】MaxiCAM 项目实践——与单片机的串口通信
笔记·python·单片机·嵌入式硬件·学习·视觉检测
快乐肚皮6 小时前
ZooKeeper学习专栏(五):Java客户端开发(原生API)详解
学习·zookeeper·java-zookeeper
慕y2746 小时前
Java学习第七十二部分——Zookeeper
java·学习·java-zookeeper
岩中竹7 小时前
广东省省考备考——常识:科技常识(持续更新)
笔记
★YUI★7 小时前
学习游戏制作记录(剑投掷技能)7.26
学习·游戏·unity·c#