版块 安全类 安全技术 一次简单的SQL注入实践
一次简单的SQL注入实践
  

adds 2025-3-13 17:284548

{{ttag.title}}
本帖最后由 adds 于 2025-3-13 20:43 编辑

   
     一、什么是sql注入       
     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。

     二、SQL注入攻击的总体思路
    2.1寻找到SQL注入的位置   
    2.2 判断服务器类型和后台数据库类型   
    2.3针对不同的服务器和数据库特点进行SQL注入攻击

     三、手工注入
     3.1  找注入点
     打开目标网站
     
      通过在页面后面加入测试语句,判断是否有注入点。
      
      上面两次提交请求返回的结果不一致,判断该页面有注入点。
     3.2  判断列数
     这里的判断列数即数据表里有多少列。
     
    我们采用等分法,先使用10判断出来列数比10多,比20少,然后使用15判断出比15多,最终判断出数据表里共18列。
     3.3  判断回显
    手工注入的特点即要求页面一定要有回显,因此,需要确认页面的回显位置。
   
    判断出回显位置为第2列和第3列。
   
     3.4  暴破库名
   
   
    3.5  暴破表名
   
   
     3.6   暴破字段名
   
   
      3.7   暴破字段内容
     
     
       3.8  验证测试
      登录成功
      

    四、工具注入
    4.1   测试注入点
   
    返回结果:
   
    结果显示,该网站存在布尔盲注、时间盲注和联合注入点。
    4.2  暴数据库名
   
    返回结果:
   
    数据库名称为“jian”
    4.3  暴表名
   
    返回结果:
   
    4.4  暴列名
   
    返回结果:
   
    4.5  暴数据
   
    返回结果:
     

    、视频链接


打赏鼓励作者,期待更多好文!

打赏
3人已打赏

山东_朱文鑫 发表于 2025-3-27 10:55
  
文章条理清晰,逻辑性强,针对SQL注入做了详细的过程演示,期待博主更多的技术分享
发表新帖
作者其他文章
CVE-2025-3248漏洞验证 如何搭建漏洞环境 如何治疗deepseek本地版正经的胡说八道
热门标签
全部标签>
有一说一
新版本体验
设备维护
安装部署配置
山东区技术晨报
每日一问
虚拟机
功能体验
解决方案
排障笔记本
纪元平台
测试报告
授权
技术盲盒
2024年技术争霸赛
问题分析处理
标准化排查
GIF动图学习
原创分享
资源访问
齐鲁TV
云化安全能力
信服课堂视频
日志审计
每日一记
sangfor周刊
地址转换
玩转零信任
「智能机器人」
场景专题
2025年技术争霸赛
专家问答
技术圆桌
升级
升级&主动服务
VMware替换
产品连连看
畅聊IT
上网策略
运维工具
用户认证
信服故事
平台使用
每周精选
排障那些事
西北区每日一问
高手请过招
高频问题集锦
全能先锋系列
安全攻防
华北区交付直播
专家说
产品知识周周练
技术笔记
SDP百科
北京区每日一练
故障笔记
社区新周刊
行业实践
流量管理
安全效果
产品动态
技术顾问
答题自测
在线直播
MVP
VPN 对接
项目案例
存储
产品预警公告
技术争霸赛
追光者计划
2023技术争霸赛专题
技术晨报
关键解决方案
声音值千金
网络基础知识
功能咨询
卧龙计划
华北区拉练
【 社区to talk】
工具体验官
终端接入
迁移
秒懂零信任
POC测试案例
专家分享
S豆商城资讯
天逸直播
SANGFOR资讯
以战代练
文档捉虫
产品解析
产品体验官
热门活动
转盘
任务
商城
勋章
成长计划

本版热帖

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人