博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
webgote的例子(5)Sql注入(Blog)
阅读量:5860 次
发布时间:2019-06-19

本文共 565 字,大约阅读时间需要 1 分钟。

 

 

SQL Injection - Stored (Blog)

本章内容):留言板的注入

看到这个页面先看以下这个页面是做什么的。进行正常的写入发现我每写一句话,其内容都会写到下面的entry里面

在尝试一个不正常的输入

下面显示error了 表明不正常 我们细看一下报错的内容应该是’zet’)’的附近有错误。

我们的注入点是找到了但是还不知道是怎么上传上去的,抓个包看看

这样我们就清楚了还是post的方式进行提交的(单引号 被自动url编码为 %27

我们回到hackbar里面进行复制

我们尝试在再后面随便输一个值  

通过上图我们好像发现了一个格式 我们输的单引号和q后面的单引号产生了闭合,逗号后面跟的是zet这个用户的名字,而最后的单引号是报错的。那我们可以尝试下面的方法。

我们将逗号加上去后面的’zet’)用#注释掉加上我们自己定义的

旁边的单引号把我中间的select user()给变成字符了。我们把他去掉换成括号让他当成语句执行,改成下图的。

这样他就是一个句子了。

我们在进行更改一下。我们吧查询的结果用group_concat()包起来。

本期的演示就完了。。。。。。。。

 

转载于:https://www.cnblogs.com/shiguangliangchunshanbo/p/8643704.html

你可能感兴趣的文章
无线通信网络之LoRa技术
查看>>
重庆银行推出大数据信贷产品
查看>>
Oculus创始人面临窃取商业机密指控
查看>>
传Snapchat已递交IPO申请 拟至多融资40亿美元
查看>>
美国OTA更新《物联网信任框架》:未来物联网认证计划的基础
查看>>
制造业原材料价格上涨 安防设备涨还是不涨?
查看>>
硬盘都白菜价了,可我们连卖“白菜”都不够格
查看>>
ARM发力物联网
查看>>
我怎么做性能测试
查看>>
“十三五”规划强调信息安全
查看>>
欧盟斥资18亿欧元 砸向网络安全领域——英国,你后悔了没?
查看>>
网络安全专家寻勒索病毒蛛丝马迹 警告更多风险
查看>>
百亿交易额被指造假!科通芯城创始人报警回应
查看>>
AOFAX呼叫中心:企业如何提升竞争力和凝聚力
查看>>
以大数据探寻社会治理精准模式
查看>>
阿里巴巴集团技术委员会主席王坚:我曾经被诺贝尔奖得主司马贺忽悠,相信人工智能就是未来!...
查看>>
北控清洁能源俩附属订立光伏发电设备融资租赁协议
查看>>
慈溪:创卫,让城市生活更美好
查看>>
大数据经济价值报告发布 零售业最受益
查看>>
基于光纤网络视频监控系统
查看>>