SQL注入(4)——实战SQL注入拿webshell

本文档详述了一位作者构建的简单SQL注入靶场,用于实践和学习SQL注入技术。通过使用Burp Suite和SQLMap工具,作者展示了如何检测和利用SQL注入漏洞。在靶场中,作者揭示了如何通过盲测和工具扫描来识别潜在的注入点,并最终成功利用注入漏洞,获取敏感信息和后台访问权限。文章强调了手动测试的重要性,尤其是在工具未能识别漏洞时。

本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记

前文链接

  1. WAMP/DVWA/sqli-labs 搭建
  2. burpsuite工具抓包及Intruder暴力破解的使用
  3. 目录扫描,请求重发,漏洞扫描等工具的使用
  4. 网站信息收集及nmap的下载使用
  5. SQL注入(1)——了解成因和手工注入方法
  6. SQL注入(2)——各种注入
  7. SQL注入(3)——SQLMAP

通过一个实例来进行SQL注入的实战。

源码下载:
GitHub:https://github.com/13337356453/SQLTest/
CSDN:https://download.csdn.net/download/realmels/19136813

前言

SQL注入也讲了这么多了,都是些理论的东西,这边我自己随便弄了个小靶场来练习SQL注入。

我这个小靶场是根据我之前通过SQL注入弄下来的靶场改的(当然不可能找个网站来黑,要遵纪守法),大体和原理是差不多的,没有好看的CSS,代码也很简陋。

同时这是我第一次接触PHP,本人不是搞前端的,能用就行。

在使用之前,先下载源码。

创建密码为SQLTestsql用户。或在model.php中配置MySQL连接信息。并执行sqltest.sql文件。

可以在下载源代码后自己不看源码尝试一下,作不出再看源码。同时该博客有详细解析。

测试ip :192.168.1.7


测试流程

访问网站的主页,到处看看有什么东西。

在这里插入图片描述

访问新闻页面,发现有参数id怀疑存在SQL注入,输入and 1=1and 1=2进行测试。

在这里插入图片描述
在这里插入图片描述都返回了正常的界面,不确定是否存在注入漏洞,放进SQLMap里扫一手。


                
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值