本空间内容都是自己的随记,转载请注明出处!
手工注入mysql笔记
上一篇 /
下一篇 2012-11-30 10:47:34
/ 个人分类:安全类
让开发同事帮忙写了个页面,没有防止
sql注入的。用来
学习手工sql注入用到的一些函数和方法,其实就是个验证并记录的过程
1、判断是否存在注入点
2、判断数据库类型
3、判断字段数量
4、查询当前数据库名称
6、查询数据库版本和用户
查询版本可用version() 或者@@version
查询用户可用user()或System_user()或Session_user()或Current_user()
7、查询数据库路径
8、查用户和密码
0x3a:分割作用
9、查询所有库名和表名
详细情况请查看information_schema库
10、查看当前库的所有表名
11、查看表的字段名
到此为止,数据库基本搞定,根据库,表,字段可以查询出管理后台或者用户的用户名和密码。
12、读系统文件
•0x633a5c626f6f742e696e69 c:\boot.ini
•0x2F6574632F706173737764 /etc/passwd
•0x2F6574632F736861646F77 /etc/shadow
收藏
举报
TAG:
MySQL
mysql
SQL注入
sql注入