㈠ 需要登录的网页 sqlmap怎么注入
·对于需要登录的网站,我们需要指定其cookie 。我们可以用账号密码登录,然后用抓包工具抓取其cookie填入。
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --cookie="抓取的cookie" #探测该url是否存在漏洞
·对于是post提交数据的URL,我们需要指定其data参数
sqlmap -u "http://192.168.10.1/sqli/Less-11/" --data="uname=admin&passwd=admin&submit=Submit" #抓取其post提交的数据填入
我们也可以通过抓取 http 数据包保存为文件,然后指定该文件即可。这样,我们就可以不用指定其他参数,这对于需要登录的网站或者post提交数据的网站很方便。
我们抓取了一个post提交数据的数据包保存为post.txt,如下,uname参数和passwd参数存在SQL注入漏洞
㈡ 如何对网站进行SQL注入
首先你要了解什么是SQL注入漏洞,SQL注入漏洞就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
简单来说,网站一般都是由web应用程序,数据库,服务器等组成的,网站的所有用户数据,密码表单等等都是保存在数据库当中的,数据库的内容按到常理来说是只能在服务器内部进行查询,当然,但是,开发人员对客户端用户向客户端提交的参数没有进行过滤,那么,黑客就可以从客户端【浏览器,等等,详细可以学习http协议】向服务器提交查询数据库的SQL语句,如果提交的语句成功的被服务器给接收到并且执行么,那么黑客岂不是想怎么查询数据库里面的内容就怎么查询,不是么?那些管理账号密码,会员数据不是分分钟就到手了?SQL注入漏洞危害是非常大的。
当然,这种漏洞是根据提交参数没过滤而产生的,那么除了浏览器的get提交参数,http协议中还有,post提交,cookie提交,等等。注入漏洞不是网上那些所谓的黑阔,用什么啊D,明小子之类的乱检测一气而找出来的,如果楼主想研究这个漏洞的产生,原理,利用和防御,是需要进行代码审计,SQL注入语句基础,等等。
现在一般常用的工具:SQLmap【这是一款神器,现在是公认最强大的开源注入工具】
建议楼主去看几本书:《SQL注入天书》《SQL注入漏洞的产生与防御》
这个漏洞的利用不是几句话就能说清楚的,详细的可以追问,纯手工打字,望楼主采纳。
㈢ 怎么注入网站最好给个实例
最简单的表单注入:一个登陆界面,需要输入用户名和密码。假设数据库对用户名密码的处理为select * from table where name=’"+user+"’and password=’"+passwd+"’"
那么用户名输入xxx,密码输入1’or ’1’= ’1,则sql语句就成为
select * from table where name=’xxx’and password=’1’or’1’=’1’
这样就会列出用户名为xxx的相关数据,注入成功。
㈣ 入侵网站有多少种方法
目前常用的网站入侵方法有五种:上传漏洞、暴库、注入、旁注、COOKIE诈骗。
1、上传漏洞:利用上传漏洞可以直接得到Web shell,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
2、暴库:暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限。
3.注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞;注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
4、旁注:找到和这个站同一服务器的站点,然后在利用这个站点进行提权,嗅探等方法来入侵我们要入侵的站点。
5、COOKIE诈骗:COOKIE是上网时由网站所为你发送的值记录了你的一些资料,比如说:IP、姓名等。
㈤ 如何入指定侵网站
入侵指定网站
从主站下手:
1.注入
2.上传
3.编辑器
4.扫网站敏感信息
5.社工后台
6.旁注---------旁注的意思就是同IP的站点入侵,然后提权这样也能搞定。
㈥ 如何将自己写的js注入到网站网页中
可以用google的Chrome扩展程序。如果你会js开发,完全可以自己写扩展程序。
方法:
1、在自己电脑上新回建一个chrome扩展答程序项目,具体方法网络吧。
2、写一个background.js,设置在网页加载后运行。
3、在需要的时候(定时,或事件触发),运行document.getElementById("btnid").click();触发点击事件
㈦ 如何将自己写的js注入到网站网页中
首先你要确认你的是js码,只有js代码才能被调用。
将写好的js代码复制到txt文件中,另存为.js文件,保存在你的网站目录下。我保存在桌面上。(注在网页上调用一定要保存在网页上)
保存好了之后,我的桌面就有一个新建.js的介绍文件,现在看看效果吧。随便新建一个网页,在<body></body>(注我演示的没有body,是最简单的网页)之间插入<script
language="javascript"
src="js文件地址"></script>,我的是放在桌面上的,所以地址是下面的这个
保存为html文件之后,打开来看看效果吧。
如上图所示,在网页的源文件里面,显示的不是
<input
type=button
name="Submit1"
value="郭强"
size=10
class=s02
style="background-color:rgb(235,207,22)">而是这段代码转换成js后js文件所在的位置。
㈧ 如何对网站进行SQL注入
进入你的管理后台"数据库查询"--“SQL查询”在查询框直接注入需要添加的字段,或是进入SQL后台找到相应字段直接注入即可。
㈨ 如何手工注入网站漏洞
以下仅仅是个人思路,仅提供参考... "骨灰级"电脑高手可以无视.. 1.猜表名 and (select count(*) from[表])>0 2.猜字段 and (select count(字段) from 表)>0 3.猜字段长度 and (select top 1 len(admin) from admin)>0 >0,1,2,3,4,5..... 猜帐号长度 and (select top 1 len(password) from admin)>0 >0,1,2,3,4,5..... 猜密码长度 4.猜字段的ASCII值(ACCESS) and (select top 1 asc(mid(admin,1,1)) from admin)>0 猜帐号的第一位 and (select top 1 asc(mid(admin,2,1)) from admin)>0 猜帐号的第二位 .................类推... 另外,如果网站采用的是通用的防止注入的代码,比如在加'时,出现如下的对话筐,可以用注入中转, 在本地搭建一个服务器,再拉啊D跑,在本地跑会很慢.. 也可以用联合查询语句 and 1=2 union select 1,2,3,4******** form admin(表) 当然,前提是可以使用联合查询语句,帐号和密码可以秒杀....... 这只是思路.思路很重要.. 很多高级注入的命令以及错误的处理方式,就不在此罗列了.... 如果需要入侵的站点很强,可以考虑跨站......
求采纳
㈩ 如何对一个网站进行SQL注入攻击
1.POST注入,通用防注入一般限制get,但是有时候不限制post或者限制的很少,这时候你就可以试下post注入,比如登录框、搜索框、投票框这类的。另外,在asp中post已被发扬光大,程序员喜欢用receive来接受数据,这就造成了很多时候get传递的参数通过post/cookie也能传递,这时如果恰好防注入程序只限制了get,因此post注入不解释
2.cookie注入,原理同post注入,绕过相当多通用防注入
3.二次注入,第一次注入的数据可能不会有效,但是如果将来能在某个页面里面被程序处理呢?注入来了……
4.csrf,适合后台地址已知并且存在已知0day,可以试试用csrf劫持管理员来进行操作(这招其实不属于sql注入了)
5.打碎关键字,比如过滤select,我可以用sel/**/ect来绕过,这招多见于mysql
6.有时候也可以sELeCT这样大小写混淆绕过
7.用chr对sql语句编码进行绕过
8.如果等于号不好使,可以试试大于号或者小于号,如果and不好使可以试试or,这样等价替换
9.多来几个关键字确定是什么防注入程序,直接猜测源码或者根据报错关键字(如"非法操作,ip地址已被记录")把源码搞下来研究
10.记录注入者ip和语句并写入文件或数据库,然而数据库恰好是asp的,插马秒杀