DVWA練習記錄——SQL Injection

使用在線靶場

www.vsplate.com

看看介紹吧


在我看來就是閉合引號和拼接使用查詢語句來讀取數據庫的數據

這是low級別代碼

既然沒做任何過濾機制,那就構造一個完整的查詢語句:

所以輸入

1' union select user(),database() from users #


查到數據了

看看medium吧


這個,好像直接拼接就可以了的樣子。直接構造唄


輸入

1 union select 1,2 from users

在線靶場好像有問題

嘛靶場medium界面打不開就不管了,應該思路沒錯。看看high吧


看起來就是限制了只取查詢的第一行,而且讀取數據從session里讀了

試試構造唄

輸入

1'? union select 1,2 from users #

好像和low級別一樣就成功了,沒看懂這個是在防什么

看看help怎么說吧


session在變應該就是防止無腦注入攻擊咯。

impossible級別

找個答案看看

http://www.freebuf.com/articles/web/120747.html

答案是從盲注講解的,還脫了褲,而且medium也不是想象那樣。學到了。

?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • 1. Java基礎部分 基礎部分的順序:基本語法,類相關的語法,內部類的語法,繼承相關的語法,異常的語法,線程的語...
    子非魚_t_閱讀 31,779評論 18 399
  • 第一天 7月13日OCP筆記: Oracle Ocp11g準備資料: OracleFundmentals 書 管理...
    fjxCode閱讀 2,843評論 0 4
  • 人為什么要結婚呢?在這個社會,男人和女人,到底誰更需要一紙婚姻的制約精神。可如果這結婚證無法讓愛情的忠誠得以保障...
    墨之屋閱讀 344評論 0 1
  • 在這個薄情的世界,真心換來的只是拋棄 你那么天真,哪里知道世事無常的道理? 忠誠,是選擇你的理由,也是拋棄你的借口...
    黎璃莉莉閱讀 222評論 0 0
  • (一) 我背負的江山,是黃土的一角 是一塊頑石,是一寸黝黑的肌膚 浪子,把青山養好,把河里的魚兒喂飽 邁向江湖...
    成風_65d9閱讀 233評論 0 1