默认存在的数据库:mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法假:表示查询是错误的 (MySQL 报错/返回页面与原来不同)真:表示查询是正常的 (返回页面与原来相同)共三种情况:字符串类型查询时: 数字类型查询时: 登陆时: '...
分类:
数据库 时间:
2015-02-15 17:56:44
阅读次数:
296
目录:0x00 mysql一般注入(select)0x01 mysql一般注入(insert、update)0x02 mysql报错注入0x03 mysql一般盲注0x04 mysql时间盲注0x05 mysql其他注入技巧0x06 mysql数据库版本特性0x07 声明正文:0x00 mysql一...
分类:
数据库 时间:
2015-01-27 01:48:33
阅读次数:
241
web服务器出现漏洞,很容易被人家扫描,并尝试注入mysql:今天尝试着扫描一下真发现网站被注入测试了:贴一段代码:GET/?fbconnect_action=myhome&fbuserid=1+and+1=2+union+select+1,2,3,4,5,concat(user_login,0x3a,user_pass),7,8,9,10,11,12+from+wp_users--HTTP/1.0"30..
分类:
数据库 时间:
2014-12-02 17:26:17
阅读次数:
215
1.判断一个url是否存在注入点: .sqlmap.py -u "http://abcd****efg.asp?id=7" -dbs 假设找到数据库:student ------------------------------ available databases[1] [*] stud...
分类:
数据库 时间:
2014-11-22 22:43:43
阅读次数:
248
光说不练假把式,关于脚本入侵看的心痒,就实践了一把。首先google:inurl:"php?id="发现这个网站可get注入:http://brand.66wz.com/store.php?id=18试了下http://brand.66wz.com/store.php?id=18anduser>0有反应,网页上出现错误提示:然后输入http://brand.66wz.com/store..
分类:
数据库 时间:
2014-11-13 19:06:32
阅读次数:
223
Mysql sqlinjection code# %23 -- /* /**/ 注释UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,.....
分类:
数据库 时间:
2014-11-09 17:53:27
阅读次数:
273
mysql-数据库---需要root权限读取information schema--数据库--在5以上的版本中存在三种情况:1.字符串类型查询时: ' 假 '' 真 " 假 "" 假 \ 假 \\ 真2.数组类型查询时: AND 1 真 AND 0 假 AND true 真 AND false .....
分类:
数据库 时间:
2014-11-01 18:59:08
阅读次数:
193
基本的报错注入 1、单引号报错-GET-字符型 错误信息:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax...
分类:
数据库 时间:
2014-09-21 12:47:10
阅读次数:
263