GBHackers On Security

Articles

で手動SQLインジェクションを実行する方法今日は、MySQLデータベースの整数ベースのメソッドで手動SQLインジェクションを実行します。私は、エラーベースの文字列注入に関する最後の記事が、特に初心者のために、誰にとっても有用であることを願っています。今、私はすぐに整数ベースのメソッドを使用してSQLインジェクションのためのさらに別の書き込みにドライブします。

SQLインジェクションオンラインラボ:
ステップ1: クエリを破る
ステップ2：バックエンドの列を見つける
ステップ3: バックエンドテーブルの検索&テーブル名
ステップ4:データベーステーブルのダンプ
ステップ5として示しています: テーブルの列にすべてのデータをダンプする
ステップ6:すべてのユーザー名&パスワードのダンプ
私達を共有し、支えて下さい:

SQLインジェクションオンラインラボ:

初心者は、このウェブサイトを使用してSQLインジェクションのスキルを練習することができます
ラボにアクセスするにはここをクリック

ステップ1: クエリを破る

ウェブサイトを訪問するtestphp.vulnweb.com/artists.php?artist=1
既存のURLに&単一引用符を追加して、webサイトがSQLインジェクションに対して脆弱であるかどうかを確認しましょうtestphp.vulnweb.com/artists.php?artist=1′

ここでは、クエリのバランスをとることができるように、データベースでエラーメッセージを受信するためにクエリを中断しようとしています。
しかし、私たちは入力に関してエラー文を取得していません。
今、私は入力文字列がデータベースでエラーを取得していないとき、私は一重引用符なしで修正しようとしてみましょうことを理解しています。

上の図は、ウェブサイトが修正されていることを示しています&整数でエラーなしでクエリに参加しましたmethod.So これは、整数ベースのメソッドを使用したSQLインジェクションと呼ばれます。

ステップ2：バックエンドの列を見つける

データベースと会話して、次の番号を見つける時間です。columns.To order byコマンドを使用できる列を列挙します。
データベース内の列の可用性を確認できるように、任意の番号でデータベースに問い合わせてみましょう。

上記の図では、4列を要求しましたが、エラーがスローされます。
データベースを求め続ける、私は3列を求めてみましょう！!!

上の図は、はい、SQLエラーを示していません！私たちは3つの列だけを持っています

ステップ3: バックエンドテーブルの検索&テーブル名

コマンドunion all selectを使用してデータベースにテーブルパスを尋ねてみましょう

上の図は、union all selectの実行がテーブルのパスを与えることを示しています。2&3テーブルパス。

上の図は、表2&3のパス上でdatabase()&version()の実行を示しています。したがって、ここではデータベース名はacuartで、バージョンは5.1.73-0ubuntu0.10.04です。1

ステップ4:データベーステーブルのダンプ

Group_Concat()は、関数がグループから連結されたNULL以外の値を持つ文字列を返します。
だから我々は、データベースからすべてのテーブルを一覧表示するには、この関数を使用することができます。
さらに、Information_Schemaを使用して、データベース内のオブジェクトに関するメタデータを表示できます

上の図は、すべてのテーブルのダンプをカート、categ、featured、guestbook、pictures、products、users

ステップ5として示しています: テーブルの列にすべてのデータをダンプする

ここでは、テーブル内のユーザーのためにダンプします

上の図は、
uname、pass、cc、address、email、name、phone、cartを含むテーブルのすべての列のダンプを示しています。

ステップ6:すべてのユーザー名&パスワードのダンプ

ここでは、すべてのユーザー名&パスワードをデータベースにダンプできます。

ここでは、テストとしてのユーザー名とテストとしてのパスワードを得ました！!!!
練習し、cc、住所、電子メール、名前、電話、カートを含むテーブルのすべての列をダンプしようとします。ハッピーハッキング！!!

あなたは毎日のサイバーセキュリティの更新のためのLinkedinの、Twitter、Facebook上で私たちに従うことができますまた、あなたはあなたの自己更新を維持するため

この記事は教育目的のためだけです。このウェブサイトに含まれる資料に関連するすべての行動およびまたは活動は、お客様の責任のみです。このウェブサイトの情報の誤用は、問題の人に対してもたらされた刑事告訴につながる可能性があります。

“作者”と”www.gbhackers.com”法律を破るためにこのウェブサイトの情報を悪用する個人に対して刑事告訴が提起された場合には責任を負いません。このコンテンツを無断で複製することは固く禁じられています。

私達を共有し、支えて下さい:

Write a Comment コメントをキャンセル