sql注入从菜鸟到高手

Sql 注入从菜鸟到高手 1：Sql 注入名词解释 + 认识数据库 2：Sql 注入原理 + 类型 + 方式 3：普通 Sql 注入工具的使用 名小子 + 啊 D + HDSI 4：高级 Sql 注入工具的使用 Havij + Pangolin 5：注入神器 Sqlmap 的使用 1：SQLMAP 安装 2：Access 数据库注入 3：Mysql 数据库注入 4：Cookie 注入 5：post 登陆框注入 6：交互写 shell 及命令执行 7：伪静态注入 8：请求延时 9：SQLMAP Tamper（绕过 WAF 防火墙） 10：SQLMAP 其它功能 提交表单+Google + Mysql DOS 攻击等配置 sqlmap 6：手工 Sql 注入 7：其它 Sql 注入 批量发掘 sql 注入点 BY：老实先生 QQ：61915125 Sql 注入名词解释 + 认识数据库 语音教程 Sql 注射 注入 Sql Injection 数据库： MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase 和 SAP MaxDB 主要的数据库排序 Microsoft Access MySQL Microsoft SQL Server Oracle Sql 注入原理 + 类型 + 方式 Sql 语言 结构化查询语言(Structured Query Language)简称 SQL(发音：/es kju el/ “S-Q-L“)，是 一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、 更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 结构化查询语言是高级的非过程化编程语言，允许用户在高层数据结构上工作。它不 要求用户指定对数据的存放方法，也不需要用户了解具体的数据存放方式，所以具有完全 不同底层结构的不同数据库系统, 可以使用相同的结构化查询语言作为数据输入与管理的 接口。结构化查询语言语句可以嵌套，这使它具有极大的灵活性和强大的功能。 1986 年 10 月，美国国家标准协会对 SQL 进行规范后，以此作为关系式数据库管理系 统的标准语言（ANSI X3. 135-1986） ，1987 年得到国际标准组织的支持下成为国际标准。 不过各种通行的数据库系统在其实践过程中都对 SQL 规范作了某些编改和扩充。所以，实 际上不同数据库系统之间的 SQL 不能完全相互通用。 Sql 注入原理 SQL Injection：就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查 询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。 具体来说，它是利用现有应用程序(asp,aspx.php.jsp 等) ，将（恶意）的 SQL 命令注入 到后台数据库引擎执行的能力，它可以通过在 Web 表单中输入（恶意） SQL 语句得到一个 存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行 SQL 语句。 Sql 注入类型 Get 数字型 /news_display.asp?id=10383 字符型 /hack.asp?Name=老实先生 关键字查询 /hack.asp?keyword=老实先生 Cookie cookie 方式提交 Post post 方式提交 Sql 注入方式 盲注 联合查询 报错注入 普通 Sql 注入工具的使用 明小子 扫描注入点 综合上传 旁注检查 啊 D 扫描注入点 综合上传 webshell 管理 HDSI 扫描注入点 综合上传 webshell 管理 php 注入 注入点管理 使用代理 / 高级 Sql 注入工具的使用 Havij Pangolin 注入神器 Sqlmap 的使用 1：SQLMAP 安装 下载 python 2.7.x /softview/SoftView_67665.html 下载 Sqlmap / 2：安装 python 加入系统变量 3：解压 sqlmap 将解压后的文件夹复制或剪切到 python 目 录下 目的是在使用 sqlmap 的时候可以少输入命令 Python sqlmap.py - sqlmap.py 建立 bat 或者 cmd 文件 将 sqlmap 加入系统变量;D:Program FilesPython27SqlMap 目的，在 cmd 在任何位置都可以使用 sqlmap 注入神器 Sqlmap 的使用 2：Access 数据库注入 命令参数 -u 指定 url -T 指定表 admin -C 指定列 username -tables 获取表 -columns 获取列 -dump 获取数据（转存数据） /shownews.asp?id=379 sqlmap.py 参数 sqlmap.py -u http:/localhost/NewsView.asp?id=10 T admin C “usernam,password” dump 注入神器 Sqlmap 的使用 3：Mysql 数据库注入 5.0 以上 暴库 以下暴力猜解 命令参数 -db