当前位置: 首页 > 原创新闻 > Web安全实战之GET注入-盲注

Web安全实战之GET注入-盲注

发表于:2020-12-15 10:48 作者: mtr 阅读数(5747人)

通过本实验的学习,掌握SQL注入中GET型报错注入基本方法及函数、测试流程,及information_schema数据库的运用。试着根据报错信息的不同构造语句进行注入。


实验简介

靶场实战链接——GET注入-盲注

实验所属系列: web安全

实验对象: 本科/专科信息安全专业

相关课程及专业: 计算机网络、网络安全、SQL基础

实验类别: 实践实验类


预备知识

SQL


1)SQL注入介绍

      SQLI,sql injection,我们称之为 sql 注入。何为 sql,英文:Structured Query Language,叫做结构化查询语言。常见的结构化数据库有MySQL,MS SQL ,Oracle以及Postgresql。Sql语言就是我们在管理数据库时用到的一种。在我们的应用系统使用 sql 语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql 语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。


2)关于SQL基础语句

      增:insert into tableName(columnName1,columnName2) values(value1,value2)

      删:delete from tableName where …

      改:update tableName set columnName=value where …

      查:select * from tableName where …


3)Information_schema数据库基本表说明:

      schemata表:提供了当前mysql实例中所有的数据库信息,show databases的结果就是从该表得出。

      tables表:提供了关于数据库中的所有表的信息,即表属于哪个schema,表的创建时间、表的类型等,show tables from schemaName的结果就是从该表得出。

      columns表:提供表中所有列信息,即表明了表中所有列及每列的信息,show columns from schemaName.tableName的结果就是从该表得出。

      

phpstudy介绍:

      phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。


实验目的

掌握SQL注入基本方法、测试流程,及information_schema数据库的运用。