IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 大数据 -> portswigger靶场SQL注入实验(上) -> 正文阅读

[大数据]portswigger靶场SQL注入实验(上)

最近发现一个挺不错的靶场,burpsuite的官方网站在线训练平台
不多说先到第一个系列的实验去一探究竟
在这里插入图片描述
麻了,英文界面属实不太友好!
在这里插入图片描述
所以我决定用谷歌看题,火狐去操作(主要火狐用习惯了)
第一个系列的实验为SQL注入,先来简单了解一下吧。
在这里插入图片描述

什么是SQL注入?

SQL 注入是一种 Web 安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的内容或行为发生永久性更改。
在某些情况下,攻击者可以升级 SQL 注入攻击以破坏底层服务器或其他后端基础设施,或执行拒绝服务攻击。

成功的SQL注入攻击会产生哪些影响?

成功的 SQL 注入攻击可能导致对敏感数据(例如密码、信用卡详细信息或个人用户信息)的未授权访问。近年来,许多备受瞩目的数据泄露事件都是 SQL 注入攻击的结果,导致声誉受损和监管罚款。在某些情况下,攻击者可以获得进入组织系统的持久后门,从而导致可能在很长一段时间内不被注意的长期危害。

开始实验吧!

实验1

在这里插入图片描述
谷歌翻译完页面之后舒服多了
在这里插入图片描述
在这里插入图片描述
题目大概的意思就是让你确定返回的列数

两种方式去处理:
' order by 1 -- qwe
' order by 2 -- qwe
....
直到页面报错为止,报错前的最大数即为列数
' union select null -- qwe
' union select null,null -- qwe
....
直到页面不报错为止,不报错时的数即为列数

该实验要完成解决貌似得用第二种方式,我就直接操作第二种方式了.
在这里插入图片描述
通过尝试确定为三列,问题得以解决

实验2

在这里插入图片描述
解决方法为找到存在文本的列,先判断列数
在这里插入图片描述
通过判断为3,下面就要确定文本的位置即可解决该问题
在这里插入图片描述
先尝试第一个位置,页面报错接着尝试
在这里插入图片描述
通过判断文本存在于第二个位置
将题目所给字符串放进去检索
在这里插入图片描述
该实验完成

实验3

在这里插入图片描述
解决方法为从users表中检索username和password拿去登录
先判断列数

3报错了
在这里插入图片描述
最后确定为2,再确定哪个位置有文本
在这里插入图片描述
在这里插入图片描述
两个位置均有,接下来直接从users表检索吧
在这里插入图片描述
往下翻

在最底下找到账号密码,拿去登录解决该实验
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
得以解决

实验4

在这里插入图片描述
有暗示,去瞧一瞧
在这里插入图片描述
描述的应该是让多个数据链接的语法然后跟随SQL查询语句输出出来
还是先判断列数
在这里插入图片描述
通过判断为列数为2,继续确定文本位置
在这里插入图片描述
在这里插入图片描述

username和password在同一位置
通过||'~'||的方式将两链接同时输出出来

在这里插入图片描述
拿去登录即可完成该实验

实验5

在这里插入图片描述
先查看一下暗示吧
在这里插入图片描述
在这里插入图片描述
这里告诉了我们查看Oracle数据库版本信息所使用的语句
在这里插入图片描述
在这里插入图片描述
前两步同上述实验
利用文档里的语句进行版本查询
在这里插入图片描述
在这里插入图片描述
该实验结束!

实验6

在这里插入图片描述
跟上个实验差不多的操作,就是查询的数据库变了,语句会有些变化
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
页面的最后就出现了实验需要我们检索的数据,本实验结束,跟实验5几乎相同

实验7

在这里插入图片描述
在这里插入图片描述
暗示还是这些,本实验说的是非Oracle数据库
因为非Oracle数据的查询语句相同,我就不去查数据库信息了,大家自己查一查
在这里插入图片描述
在这里插入图片描述
查出了很多表,往下翻找到users的表
在这里插入图片描述
大概率就是这张表里存着username和password字段,先进去看看
在这里插入图片描述
往下翻
在这里插入图片描述
找到了字段名,下一步进入字段查数据
在这里插入图片描述
拿去登录即可解决该实验!

实验8

在这里插入图片描述
与实验7类似,前面步骤我就省略了
在这里插入图片描述
往下翻找users表
在这里插入图片描述
在这里插入图片描述
往下翻找字段
在这里插入图片描述
在这里插入图片描述
往下翻
在这里插入图片描述
拿去登录即可完成本实验!
小结一下:union联合注入查询就在于对库,表,字段及字段中的数据的查询

最近事情稍微有点多实验先更上半部分,下半部分实验过几天写出来~~
不足之处还请师傅们见谅!
在这里插入图片描述

  大数据 最新文章
实现Kafka至少消费一次
亚马逊云科技:还在苦于ETL?Zero ETL的时代
初探MapReduce
【SpringBoot框架篇】32.基于注解+redis实现
Elasticsearch:如何减少 Elasticsearch 集
Go redis操作
Redis面试题
专题五 Redis高并发场景
基于GBase8s和Calcite的多数据源查询
Redis——底层数据结构原理
上一篇文章      下一篇文章      查看所有文章
加:2021-09-10 10:55:57  更:2021-09-10 10:56:12 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 20:48:04-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码