MySQL手工注入指南:一步一步学习注入(mysql手工注入教程)
MySQL手工注入指南:一步一步学习注入
MySQL手工注入是指通过正确并有目的性的键入SQL语句,来对在web站点中的MySQL数据库进行注入操作的技术。本文将通过介绍如何手工注入MySQL,帮助读者更好地理解这一必备的安全技术。
首先,在进行MySQL手工注入之前,需要进行一定的调研,以辨识可能存在漏洞的web程序。为此,可以使用一些扫描工具,比如Nikto或者Burp Suite,来发现对服务器上可能存在的SQL注入漏洞。通过这些工具,可以获得漏洞存在url以及受影响参数的位置。此时,转而开始正式进行SQL注入操作,步骤如下:
1.输入进行SQL注入而设计的参数:将被测试的参数的值设置为single quotes,例如id= ‘’ 。
2.模糊注入:如果能够得到系统中报错信息,就说明可以尝试进行注入。可以尝试使用以下语句进行模糊化注入操作:
“`sql
SELECT * FROM tablename WHERE id=’ ’ OR 1=1; — 查询表中的所有数据
SELECT * FROM tablename WHERE id=‘’ OR 1=1; and extractvalue(1,concat(1,user())) — 查询当前用户名
“`
3.获取数据:继续输入SQL语句来获取数据:
“`sql
SELECT table_name FROM information_schema.tables — 查看可以被访问的数据表
SELECT column_name FROM information_schema.columns WHERE table_name=‘tablename’ — 查看数据表中的字段
SELECT * FROM tablename — 查看数据表中的数据
“`
4. 注入Shell:最后尝试将一句话木马放入数据库中,很多木马可以直接放入mysql中,也可以用php函数将木马上传至数据库中。
MySQL 手工注入技术对维护web站点安全具有重要意义,只要能够熟练掌握以上注入技术,就能够有效地保护网站安全。