25-5 SQL 注入攻击 - insert注入

环境准备：构建完善的安全渗透测试环境：推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客

 一、注入原理

• 描述：insert注入是指通过前端注册的信息被后台通过insert操作插入到数据库中。如果后台没有做相应的处理，就可能导致insert注入漏洞。

• 原因：后台未对用户输入进行充分验证和过滤，导致恶意用户可以利用特定的输入构造恶意代码，从而影响数据库的插入操作，或者获取敏感数据。

二、注入方法

1. 注入手段：使用or逻辑运算符

   • 描述：恶意用户可以通过在用户名字段中利用or逻辑运算符，构造恶意的SQL语句来实现注入攻击。

2. 攻击示例

   • 示例：通过以下SQL语句中的or逻辑运算符来构造恶意代码：

     # 这是个报错注入的语句，version（）获取数据库版本，如果要获取数据库名就改成 database()
     x' or updatexml(1,concat(0