细说——SQL注⼊的常见⽅式⽬录
BurpSuite预配置
此处的作⽤:实现BurpSuite与sqlmap的联动
1. 安装CO2
安装⼀个名为CO2的⼯具
安装完成之后,可以在 扩展 页⾯看见它
2. 配置CO2
指明python的路径和sqlmap的路径。如果不知道python的路径的话,不管Windows还是linux,在终端⾥输⼊python,打开python后输⼊如下命令即可查看到python的绝对路径。
import sys
mysql数据库的方法注意⼀下,sqlmap不要放在中⽂⽬录下,也不要放在有特殊字符的英⽂⽬录下(如Program Files (x86)),否则在CO2中调⽤sqlmap时会出错。
3. ⼩试⽜⼑使⽤pikachu靶场的“字符型注⼊”
我这⾥指明了是Mysql数据库,然后就可以直接跑了
检查到4种注⼊⽅式
联合查询(union)
函数介绍
order by
select*from users ORDER BY id    # 按id列递增排序select*from users ORDER BY1# 按第1列递增排序select*from users ORDER BY id desc# 按id列递减排序select*from users ORDER BY1desc# 按第1列递减排序
union select
说⼈话就是,,,还是看下图吧(以DVWA数据库为例)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。