sql注入 low级别练习

以sqli-labs-master作为练习
初始:简单获取基础内容
第一步,使用拼接的方式决定注入类型
sql注入 low级别练习_第1张图片
第二步,使用order by确定有表单有几列值
order by根据指定的列对结果集进行排序
sql注入 low级别练习_第2张图片
第三步,使用union select 来找到内容,获取想要得到内容
union select :联合查询
sql注入 low级别练习_第3张图片
进阶,通过mysql注入获取表单内容,托库;
第一步:通过数据库语句进行搜索,首先确定数据库
sql注入 low级别练习_第4张图片
第二步:确定数据库后,爆出它的表;
sql注入 low级别练习_第5张图片
第三步:确定表以后,可根据实际需求爆表,这里以users举例,进行爆字段
sql注入 low级别练习_第6张图片
第四步:确定字段后,我们就可以拖库;
sql注入 low级别练习_第7张图片
DVWA训练基础 low级别

1.参照上文确定当前库

1’ union select (select database()),2 – -

sql注入 low级别练习_第8张图片
2.确定库后,爆表

1’ union select (select group_concat(table_name) from information_schema.tables where table_schema = ‘dvwa’),2 – -
sql注入 low级别练习_第9张图片
3.确定表后,爆字段
sql注入 low级别练习_第10张图片
4.确定字段后,进行拖库
sql注入 low级别练习_第11张图片
级别Medium

与low级别不同,没有输入框,只有选择项,所以需要借助bp工具
sql注入 low级别练习_第12张图片
1.打开代理使用bp进行抓包并发送到Repeater模块进行反复验证
sql注入 low级别练习_第13张图片
2.其余步骤参考上文:暴库
sql注入 low级别练习_第14张图片
爆表
sql注入 low级别练习_第15张图片
爆字段

sql注入 low级别练习_第16张图片

拖库
sql注入 low级别练习_第17张图片

你可能感兴趣的:(sql注入 low级别练习)