SQL注入实例(sqli-labs/less-18)

魏大橙2024-08-09 14:52

0、初始页面

先使用brup爆破密码,账号admin,密码admin

1、确定闭合字符

判断注入点在post请求参数的User-agent处

闭合字符为单引号

2、爆库名

3、爆表名

4、爆列名

5、查询最终目标

在index.php中有这么一句

复制代码 
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

所以在最后面直接使用注释符,会导致报错。所以最好的方法是闭合前面的单引号

相关推荐
Micro麦可乐2 小时前
Spring Boot 实战:从零设计一个短链系统(含完整代码与数据库设计)
数据库·spring boot·后端·哈希算法·雪花算法·短链系统
码农阿豪2 小时前
从零到一:Spring Boot快速接入金仓数据库实战
数据库·spring boot·后端
鼎讯信通2 小时前
风电光缆运维提质增效:G-4000A 光缆故障追踪仪破解风场巡检难题
运维·网络·数据库
三十..2 小时前
MySQL 从入门到高可用架构实战精要
运维·数据库·mysql
cfm_29143 小时前
Redis五大基本数据结构底层了解
数据结构·数据库·redis
真实的菜4 小时前
Redis 从入门到精通(十二):典型业务场景实战 —— 排行榜、限流器、秒杀系统、Session 共享
数据库·redis·python
你想考研啊4 小时前
mysql数据库导出导入
数据库·mysql·oracle
十年编程老舅5 小时前
Linux DRM:底层逻辑与实践架构
数据库·mysql
The Sheep 20235 小时前
Vue复习
linux·服务器·数据库
云边有个稻草人5 小时前
深度解析:KingbaseES高可用架构落地原理与生产运维实战
数据库·读写分离·数据库运维·金仓数据库·国产数据库技术·数据备份恢复
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03Codex 下载安装指南:Windows 和 macOS 官方版下载042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试09CC-Switch & Claude 基于 Linux 服务器安装使用指南10AI科技热点日报 | 2026年6月1日