㈠ 需要登錄的網頁 sqlmap怎麼注入
·對於需要登錄的網站,我們需要指定其cookie 。我們可以用賬號密碼登錄,然後用抓包工具抓取其cookie填入。
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --cookie="抓取的cookie" #探測該url是否存在漏洞
·對於是post提交數據的URL,我們需要指定其data參數
sqlmap -u "http://192.168.10.1/sqli/Less-11/" --data="uname=admin&passwd=admin&submit=Submit" #抓取其post提交的數據填入
我們也可以通過抓取 http 數據包保存為文件,然後指定該文件即可。這樣,我們就可以不用指定其他參數,這對於需要登錄的網站或者post提交數據的網站很方便。
我們抓取了一個post提交數據的數據包保存為post.txt,如下,uname參數和passwd參數存在SQL注入漏洞
㈡ 如何對網站進行SQL注入
首先你要了解什麼是SQL注入漏洞,SQL注入漏洞就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令,比如很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊。
簡單來說,網站一般都是由web應用程序,資料庫,伺服器等組成的,網站的所有用戶數據,密碼表單等等都是保存在資料庫當中的,資料庫的內容按到常理來說是只能在伺服器內部進行查詢,當然,但是,開發人員對客戶端用戶向客戶端提交的參數沒有進行過濾,那麼,黑客就可以從客戶端【瀏覽器,等等,詳細可以學習http協議】向伺服器提交查詢資料庫的SQL語句,如果提交的語句成功的被伺服器給接收到並且執行么,那麼黑客豈不是想怎麼查詢資料庫裡面的內容就怎麼查詢,不是么?那些管理賬號密碼,會員數據不是分分鍾就到手了?SQL注入漏洞危害是非常大的。
當然,這種漏洞是根據提交參數沒過濾而產生的,那麼除了瀏覽器的get提交參數,http協議中還有,post提交,cookie提交,等等。注入漏洞不是網上那些所謂的黑闊,用什麼啊D,明小子之類的亂檢測一氣而找出來的,如果樓主想研究這個漏洞的產生,原理,利用和防禦,是需要進行代碼審計,SQL注入語句基礎,等等。
現在一般常用的工具:SQLmap【這是一款神器,現在是公認最強大的開源注入工具】
建議樓主去看幾本書:《SQL注入天書》《SQL注入漏洞的產生與防禦》
這個漏洞的利用不是幾句話就能說清楚的,詳細的可以追問,純手工打字,望樓主採納。
㈢ 怎麼注入網站最好給個實例
最簡單的表單注入:一個登陸界面,需要輸入用戶名和密碼。假設資料庫對用戶名密碼的處理為select * from table where name=』"+user+"』and password=』"+passwd+"』"
那麼用戶名輸入xxx,密碼輸入1』or 』1』= 』1,則sql語句就成為
select * from table where name=』xxx』and password=』1』or』1』=』1』
這樣就會列出用戶名為xxx的相關數據,注入成功。
㈣ 入侵網站有多少種方法
目前常用的網站入侵方法有五種:上傳漏洞、暴庫、注入、旁註、COOKIE詐騙。
1、上傳漏洞:利用上傳漏洞可以直接得到Web shell,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。
2、暴庫:暴庫就是提交字元得到資料庫文件,得到了資料庫文件我們就直接有了站點的前台或者後台的許可權。
3.注入漏洞:這個漏洞是現在應用最廣泛,殺傷力也很大的漏洞,可以說微軟的官方網站也存在著注入漏洞;注入漏洞是因為字元過濾不嚴謹所造成的,可以得到管理員的賬號密碼等相關資料。
4、旁註:找到和這個站同一伺服器的站點,然後在利用這個站點進行提權,嗅探等方法來入侵我們要入侵的站點。
5、COOKIE詐騙:COOKIE是上網時由網站所為你發送的值記錄了你的一些資料,比如說:IP、姓名等。
㈤ 如何入指定侵網站
入侵指定網站
從主站下手:
1.注入
2.上傳
3.編輯器
4.掃網站敏感信息
5.社工後台
6.旁註---------旁註的意思就是同IP的站點入侵,然後提權這樣也能搞定。
㈥ 如何將自己寫的js注入到網站網頁中
可以用google的Chrome擴展程序。如果你會js開發,完全可以自己寫擴展程序。
方法:
1、在自己電腦上新回建一個chrome擴展答程序項目,具體方法網路吧。
2、寫一個background.js,設置在網頁載入後運行。
3、在需要的時候(定時,或事件觸發),運行document.getElementById("btnid").click();觸發點擊事件
㈦ 如何將自己寫的js注入到網站網頁中
首先你要確認你的是js碼,只有js代碼才能被調用。
將寫好的js代碼復制到txt文件中,另存為.js文件,保存在你的網站目錄下。我保存在桌面上。(注在網頁上調用一定要保存在網頁上)
保存好了之後,我的桌面就有一個新建.js的介紹文件,現在看看效果吧。隨便新建一個網頁,在<body></body>(注我演示的沒有body,是最簡單的網頁)之間插入<script
language="javascript"
src="js文件地址"></script>,我的是放在桌面上的,所以地址是下面的這個
保存為html文件之後,打開來看看效果吧。
如上圖所示,在網頁的源文件裡面,顯示的不是
<input
type=button
name="Submit1"
value="郭強"
size=10
class=s02
style="background-color:rgb(235,207,22)">而是這段代碼轉換成js後js文件所在的位置。
㈧ 如何對網站進行SQL注入
進入你的管理後台"資料庫查詢"--「SQL查詢」在查詢框直接注入需要添加的欄位,或是進入SQL後台找到相應欄位直接注入即可。
㈨ 如何手工注入網站漏洞
以下僅僅是個人思路,僅提供參考... "骨灰級"電腦高手可以無視.. 1.猜表名 and (select count(*) from[表])>0 2.猜欄位 and (select count(欄位) from 表)>0 3.猜欄位長度 and (select top 1 len(admin) from admin)>0 >0,1,2,3,4,5..... 猜帳號長度 and (select top 1 len(password) from admin)>0 >0,1,2,3,4,5..... 猜密碼長度 4.猜欄位的ASCII值(ACCESS) and (select top 1 asc(mid(admin,1,1)) from admin)>0 猜帳號的第一位 and (select top 1 asc(mid(admin,2,1)) from admin)>0 猜帳號的第二位 .................類推... 另外,如果網站採用的是通用的防止注入的代碼,比如在加'時,出現如下的對話筐,可以用注入中轉, 在本地搭建一個伺服器,再拉啊D跑,在本地跑會很慢.. 也可以用聯合查詢語句 and 1=2 union select 1,2,3,4******** form admin(表) 當然,前提是可以使用聯合查詢語句,帳號和密碼可以秒殺....... 這只是思路.思路很重要.. 很多高級注入的命令以及錯誤的處理方式,就不在此羅列了.... 如果需要入侵的站點很強,可以考慮跨站......
求採納
㈩ 如何對一個網站進行SQL注入攻擊
1.POST注入,通用防注入一般限制get,但是有時候不限制post或者限制的很少,這時候你就可以試下post注入,比如登錄框、搜索框、投票框這類的。另外,在asp中post已被發揚光大,程序員喜歡用receive來接受數據,這就造成了很多時候get傳遞的參數通過post/cookie也能傳遞,這時如果恰好防注入程序只限制了get,因此post注入不解釋
2.cookie注入,原理同post注入,繞過相當多通用防注入
3.二次注入,第一次注入的數據可能不會有效,但是如果將來能在某個頁面裡面被程序處理呢?注入來了……
4.csrf,適合後台地址已知並且存在已知0day,可以試試用csrf劫持管理員來進行操作(這招其實不屬於sql注入了)
5.打碎關鍵字,比如過濾select,我可以用sel/**/ect來繞過,這招多見於mysql
6.有時候也可以sELeCT這樣大小寫混淆繞過
7.用chr對sql語句編碼進行繞過
8.如果等於號不好使,可以試試大於號或者小於號,如果and不好使可以試試or,這樣等價替換
9.多來幾個關鍵字確定是什麼防注入程序,直接猜測源碼或者根據報錯關鍵字(如"非法操作,ip地址已被記錄")把源碼搞下來研究
10.記錄注入者ip和語句並寫入文件或資料庫,然而資料庫恰好是asp的,插馬秒殺