9.sql injection之中级注入(Medium)-------小白笔记

本文阅读 1 分钟
首页 代码,C/C#/C++ 正文

讲在前面:

1.SQL注入,基于DVWA平台的Medium等级的SQL注入 img 2.Medium等级在Low等级的基础上,接了一个函数,mysqli_real_escape_string() //注意:该函数是用来转义字符的,起到了过滤的作用 img img

注入过程:

1.使用burpsuite拦截,抓包 //由于,输入框被取消了,只能选择1234等数字,为了注入语句,我们拦截包,抓取到包后,注入语句即可 img 2.修改id值,发现4个注入的单引号被转义掉了,也就是被过滤了 img img img

3.修改注入,发现回显正常。(l理所当然是,整型注入咯)

1  and  1=1

img

img 4.猜解表的字段数:

1 order  by  2

//2可以,3不行

5.猜解表的字段顺序:

1  union select 1,2

6.以下爆库的过程,参考前8个博客即可!!!!!!!!!1

总结:附图

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/102883298
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复