SQL注入实例(sqli-labs/less-18)

魏大橙2024-08-09 14:52

0、初始页面

先使用brup爆破密码,账号admin,密码admin

1、确定闭合字符

判断注入点在post请求参数的User-agent处

闭合字符为单引号

2、爆库名

3、爆表名

4、爆列名

5、查询最终目标

在index.php中有这么一句

复制代码 
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

所以在最后面直接使用注释符,会导致报错。所以最好的方法是闭合前面的单引号

相关推荐
山岚的运维笔记2 小时前
SQL Server笔记 -- 第18章:Views
数据库·笔记·sql·microsoft·sqlserver
roman_日积跬步-终至千里3 小时前
【LangGraph4j】LangGraph4j 核心概念与图编排原理
java·服务器·数据库
汇智信科3 小时前
打破信息孤岛,重构企业效率:汇智信科企业信息系统一体化运营平台
数据库·重构
野犬寒鸦3 小时前
从零起步学习并发编程 || 第六章:ReentrantLock与synchronized 的辨析及运用
java·服务器·数据库·后端·学习·算法
WHD3063 小时前
苏州数据库(SQL Oracle)文件损坏修复
hadoop·sql·sqlite·flume·memcached
晚霞的不甘4 小时前
揭秘 CANN 内存管理:如何让大模型在小设备上“轻装上阵”?
前端·数据库·经验分享·flutter·3d
市场部需要一个软件开发岗位5 小时前
JAVA开发常见安全问题:纵向越权
java·数据库·安全
海奥华25 小时前
mysql索引
数据库·mysql
2601_949593655 小时前
深入解析CANN-acl应用层接口:构建高效的AI应用开发框架
数据库·人工智能
javachen__5 小时前
mysql新老项目版本选择
数据库·mysql
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06UV安装并设置国内源07openclaw配置教程(linux+局域网ollama)08从零搭建一个 PHP 登录注册系统(含完整源码)09Vue-skills的中文文档10Claude Code Skills 实用使用手册