首页 > 数据库 >burpsuite靶场----SQL注入1----where注入

burpsuite靶场----SQL注入1----where注入

时间:2023-08-14 23:33:05浏览次数:45  
标签:-- burpsuite ---- sql 靶场 注入

burpsuite靶场----SQL注入1----where注入

靶场链接

https://portswigger.net/web-security/sql-injection/lab-retrieve-hidden-data

推荐burpsuite插件

xia sql插件https://github.com/smxiazi/xia_sql

正式开始


1.先随便点个商品的view details

2.在productid处可能存在数字型注入
3.尝试将7换为8-1,发现出现报错 ps:最好不要用6+1,因为+在url表示空格

4.之后在这个地方经过7 and 1=1,7 and 1=1--等都出现这样的报错,猜测这个地方限制只能是数字,所以换个地方测试sql注入
5.点击这些标签


6.加个单引号

7.使用payload
' or '1'='1 成功通关

8.payload 还可以是
' or 1=1--

原理解析

此处的sql语句是
SELECT * FROM products WHERE category = 'Clothing,shoes and accessories' AND released = 1
插入' or '1'='1会变成
SELECT * FROM products WHERE category = 'Clothing,shoes and accessories' or '1'='1' AND released = 1 形成永真
插入' or 1=1--会变成
SELECT * FROM products WHERE category = 'Clothing,shoes and accessories' or 1=1--' AND released = 1
其中--后面的内容会被注释掉,也形成永真

标签:--,burpsuite,----,sql,靶场,注入
From: https://www.cnblogs.com/thebeastofwar/p/17630075.html

相关文章

  • socket编程原理
    socket编程原理1问题的引入UNIX系统的I/O命令集,是从Maltics和早期系统中的命令演变出来的,其模式为打开一读/写一关闭(open-write-read-close)。在一个用户进程进行I/O操作时,它首先调用“打开”获得对指定文件或设备的使用权,并返回称为文件描述符的整型数,......
  • Android实例收藏
     1、Android团队提供的示例项目如果不是从学习AndroidSDK中提供的那些样例代码开始,可能没有更好的方法来掌握在Android这个框架上开发。由Android的核心开发团队提供了15个优秀的示例项目,包含了游戏、图像处理、时间显示、开始菜单快捷方式等。地址:http://www.apkbu......
  • CGI的基本原理
    一.基本原理CGI:通用网关接口(CommonGatewayInterface)是一个Web服务器主机提供信息服务的标准接口。通过CGI接口,Web服务器就能够获取客户端提交的信息,转交给服务器端的CGI程序进行处理,最后返回结果给客户端。组成CGI通信系统的是两部分:一部分是html页面,就是在用户端浏览器上显示的页......
  • 2. 两数相加
    给你两个 非空 的链表,表示两个非负的整数。它们每位数字都是按照 逆序 的方式存储的,并且每个节点只能存储 一位 数字。请你将两个数相加,并以相同形式返回一个表示和的链表。你可以假设除了数字0之外,这两个数都不会以0 开头。 示例1:输入:l1=[2,4,3],l2=[5,6,4]输出......
  • HomeAssistant中推荐安装的几个加载项
    1.Terminal&SSH这是一款网页终端的插件,登录到HomeAssistant后点击插件即可进入控制台,在控制台中我们可以做许多事情,如:安装HACS、添加/删除/修改文件、以及使用git命令安装各种扩展内容下面我列举一下常用命令:cp//复制文件touch//创建文件cd..//退回上一级目录cd//......
  • 软件测试规范
    一、软件测试规范是为了保证软件测试的有效性和可重复性,制定的一系列标准、流程和指南。以下是一些常见的软件测试规范:ISTQB(国际软件测试资格委员会)测试标准:ISTQB是一个国际性的测试认证机构,其发布的测试标准包括ISTQB基础、ISTQB高级和ISTQB认证等多个级别的测试标准,涵盖了测试过......
  • 小米宣布科技战略升级,新一代折叠屏、仿生机器人、端侧大模型等重磅亮相
    8月14日晚,小米新品发布会在北京国家会议中心举行,小米集团创始人、董事长兼CEO雷军第四次做年度公开演讲,分享了他在过去36年中,几次关键成长的经历和感悟。在发布会上,雷军正式宣布小米科技战略升级,并公布了小米的科技理念:选择对人类文明有长期价值的技术领域,坚持长期持续投入。本次......
  • 【奶奶看了都会】2分钟学会制作最近特火的ikun幻术图
    1.效果展示最近ikun幻术图特别火啊,在网上能找到各种各样的ikun姿势图片,这些图片都是AI绘制的,能和风景完美融合在一起,今天小卷就来教大家怎么做这种图片先看看图片效果B站视频链接:仿佛见到一位故人,真正的ikun2.准备工作AI绘图用的工具仍然是SD以及controlnet插件,有小伙伴电......
  • 学习go语言编程之网络编程
    Socket编程Golang语言标准库对Socket编程进行了抽象,无论使用什么协议建立什么形式的连接,都只需要调用net.Dial()即可。Dial()函数Dial()函数的原型如下:funcDial(network,addressstring)(Conn,error)参数含义如下:network:网络协议名字,如:tcp,udp等Dial()函数支持的网络......
  • opencv-python目标跟踪
    目标追踪(objecttracking)是指先给定视频的第一帧中的目标以及它的位置,之后不断的追踪目标,预测目标的轨迹。1目标跟踪的困难点形态变化:姿态变化是目标跟踪中常见的干扰问题。运动目标发生姿态变化时,会导致它的特征以及外观模型发生改变,容易导致跟踪失败。比如体育比赛中的运动......