用户
搜索
  • TA的每日心情
    开心
    2018-10-31 12:17
  • 签到天数: 2 天

    连续签到: 2 天

    [LV.1]初来乍到

    i春秋-呆萌菜鸟

    Rank: 1

    4

    主题

    7

    帖子

    66

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-7-13
    发表于 2018-10-30 15:42:54 47490
                                                                                               《  大话 SQL注入——(二)》

          近期在学习SQL注入,在此把学习SQL injection 过程中,学与悟而得的一些知识和技巧在此分享给大伙儿!(文笔拙劣,技之仍弱,望各路前辈大侠多多指点。)
    _________________________________________________________________________________________________________________________________________________________________



    本文目录

    一 : 寻找SQL注


    831046_P7GCGM6SR8658C6.jpg 831046_P98BUR9DBZT77NW.jpg

          831046_DNA5EYUB8ME38HM.jpg        831046_P9QPQGH22RF878J.jpg

    _________________________________________________________________________________________________________________________________________________________________
                                                         正篇
                                             1: 寻找SQL注入                                                                               831046_C75GYUDS2GDJT5Y.png
    通常我们没有机会看到源码来复查注入的查询的结构,因此就常常需要通过推理进行大量的测试:(也就是测试的时候,看到这样的结果,那么猜测后台可能执行了这样的操作。)

                                                                                                                  如何推理?
                                                                                            831046_69D5JZ2N5F7BSSZ.png
                                                                                            831046_DPQA9ZYV95XETFZ.png

                                                                                                         通过操纵参数触发错误
                                                                                         831046_YTSZXVVYGRQMKWA.png

                                                                                         831046_CBJKKZ9JSUZQRJQ.png
                                                                                         831046_PNCNPYFR2TYXU8D.png

                                                                                         831046_B3F9APSSXGAMYCN.png
    _________________________________________________________________________________________________________________________________________________________________

                                                                                                           产生上述错误的原因
                                                                                     831046_XSZW6E9KHH4HB6S.png

                                                                                   831046_4YCRAGD6ZJQ6SHE.png

                                                                                831046_JDKA3FH5AEVNZKG.jpg


    三层架构信息流的基本交互过程:

            用户向web服务器发送请求——web服务器收到并检索用户数据 ,同时创建包含用户输入的数据的SQL语句——向数据库发送查询——数据库服务器(执行SQL语句查询并且返给web服务器)————web服务器根据数据库响应动态的创建HTML界面。

                     通过一个小情景来明白明白: 隔壁老王正在某个网站浏览,此时他油腻的肥手不小心在url后添加了一个单引号(‘) 之后从而引发了一些情况。
                                                                831046_Q34GU7CMM7XXW9T.png
                                 这里数据库服务器接收了不正确的sql语句查询并向web服务器返回错误信息
                                                           831046_JD7GNV2WAZUSGZC.png
                                       web服务器接收到了数据库服务器的错误并向用户发送HTML响应
          ok ~ 通过认识三层架构的信息流,来了解到 添加 一个单引号 发生错误的原因,简单的来讲就是这样。
                                                                               小知识的补充
                                                                 831046_QQUXGTVYQZ3C82W.png
                           SO  GOOD!! 我们通过简单的发送意外数据去触发异常竟然可以寻找到sql注入漏洞,真是太神奇啦。伙伴们学到了吗?                       通过简单规则寻找SQL注入漏洞及这样做之后出现这样的情况的原因 的本篇《大话SQL注入——(2)》
                           就和大家分享到这里啦!~~ 谢谢大家的支持哦。









    新手发帖,排版把握不好,各位看官辛苦了
    使用道具 举报 回复
    发表于 2018-10-30 20:26:14
    真是不容易啊,还配了那么多图,辛苦了。。
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    发表于 2018-10-31 09:09:56
    暴漫版讲解
    使用道具 举报 回复
    发表于 2019-11-24 20:50:20
    评论一下,证明我已经学过这篇文章了,谢谢楼主
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册