ToB企服应用市场:ToB评测及商务社交产业平台

标题: 一次SQL注入实战记录 [打印本页]

作者: 用户国营 时间: 2024-5-16 14:57
标题: 一次SQL注入实战记录
一、在Google欣赏器用inurl搜索语法寻找目的

复制代码

二、随便点开几个连接，目的出现了

给id参数加单引号'，页面不正常了，在上方还出现了查询报错的相干信息，相干信息还给出了数据库是MySQL。

三、使用sqlmap进行扫描

颠末小小的等待，有收获了，爆出了数据库名。

根据sqlmap的给出paylaod可以进行SQL注入，改变concat函数的参数就可以了手工使用了，如下payload可以爆出数据库版本：

-8444%20UNION%20ALL%20SELECT%20NULL,NULL,NULL,NULL,NULL,NULL,CONCAT(VERSION(),0x41756942736671524472427366534f54644f42527170684356664c43775571656253554978616557,0x716a626271),NULL,NULL,NULL,NULL,NULL,NULL--%20-

复制代码

concat函数的三个参数都是可以回显使用的。

到这里SQL注入已经完成了，点到为止。
若有错误，接待指正！o(￣▽￣)ブ

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)