SQL注入实例(sqli-labs/less-18)

魏大橙2024-08-09 14:52

0、初始页面

先使用brup爆破密码,账号admin,密码admin

1、确定闭合字符

判断注入点在post请求参数的User-agent处

闭合字符为单引号

2、爆库名

3、爆表名

4、爆列名

5、查询最终目标

在index.php中有这么一句

复制代码 
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

所以在最后面直接使用注释符,会导致报错。所以最好的方法是闭合前面的单引号

相关推荐
難釋懷4 分钟前
Redis网络模型-Redis是单线程的吗?为什么使用单线程
网络·数据库·redis
2301_781571424 分钟前
mysql如何配置自增ID预留_mysql innodb_autoinc_lock_mode参数
jvm·数据库·python
解决问题no解决代码问题8 分钟前
Quartz 1.6.5
数据库·servlet·oracle
桂花很香,旭很美13 分钟前
Redis-智能体开发中的大杀器
数据库·redis·缓存
dinglu1030DL20 分钟前
CSS如何实现背景颜色的棋盘格分布_利用repeating-gradient
jvm·数据库·python
2303_8212873823 分钟前
Golang reflect反射怎么用_Golang反射教程【通俗】
jvm·数据库·python
Mike117.41 分钟前
GBase 8c 里 search_path 没管住,SQL 可能跑到另一个对象上
数据库·sql·postgresql
升鲜宝供应链及收银系统源代码服务1 小时前
升鲜宝云商品库功能设计与数据库表结构详细文档(一)---升鲜宝生鲜配送供应链管理系统源代码服务
数据库·生鲜配送源代码·供应链源代码·生鲜供应链源代码·升鲜宝供应链管理系统源代码·b2b客户订货源代码
2301_783848651 小时前
如何用 IDBKeyRange 范围匹配检索特定区间的本地数据
jvm·数据库·python
解决问题no解决代码问题1 小时前
【无标题】
数据库
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【AI】2026 年具身智能模型和世界模型总结04Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓05CC-Switch & Claude 基于 Linux 服务器安装使用指南06头歌软件工程导论UML画图题(基于starUML)07人工智能最新动态 AI 日报 · 2026年5月10日08Codex 手机端连接教程:三分钟搞定,附完整步骤09AI科技热点日报 | 2026年5月11日10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法