写在前面的一些内容

请允许我叨叨一顿:

最初看到sqli-labs也是好几年之前了,那时候玩了前面的几个关卡,就没有继续下去了。最近因某个需求想起了sqli-labs,所以翻出来玩了下。从每一关卡的娱乐中总结注入的方式,这就是娱中作乐,希望能保持更大的兴趣学下去。而很多的东西不用就忘记了,有些小的知识点更是这样,网上搜了一下相关资料,基本上同仁前辈写的博客中讲解基础关。脑门一热决定给后面的人留下点东西(或许糟粕或许精华,全在你的角度),遂决定写blog。Blog写完了后决定总结成一个pdf文档,更方便查看。本来想着录制视频,可是时间要求太长了,所以只能先放下,此处看后期时间安排或者需求,可能的话对原作者的视频进行消音重新配音。最后希望能对后面参考该文档的人有帮助,不枉此作。

为什么要写这个?

(1)sql的危害,多少的网站是被此攻破的,危害不必细讲,同样的今天网络安全形势一片大好,依旧有很多的网站存在漏洞。具体不表,可以去各大src看看。

(2)很多的人觉得sql是如此的简单,同时很多的人是华而不实,对sql注入的理解到底有多深,决定了你对此漏洞的利用方式有多么变幻莫测。个人就想着利用自己对sql注入的理解,来完成这一个游戏。当然了,sql注入的内容有很多,这个是真的!因为我写的手酸。。

(3)以前自己在学习的时候太过于痛苦,大部分的人入门的时候通过sql走进来。同时呢,sql注入的世界真的很精彩,当你看到别人用智慧构成的payload时,你会感触颇多。所有形成你自己的理解和使用方法,而不是生搬硬套。此处希望通过该文档帮助到正在学习的人。

这项工作要怎么做?

现在大致的思路分为三个部分,但是不知道有没有时间和精力能够写完。确实写的过程比较耗费时间。

  1. 、通过源码和手工的方式,将所有的注入方式和造成漏洞的原因找出来,并进行学习。此处要求是对每一个类型的注入进行"深刻"的了解,了解其原理和可能应用到的场景。
  2. 通过工具进行攻击,我们此处推荐使用sqlmap。此过程中,了解sqlmap的使用方法,要求掌握sqlmap的流程和使用方法,精力较足的话,针对一些问题会附sqlmap的源码分析。
  3. 自己实现自动化攻击,这一过程,我们根据常见的漏洞,自己写脚本来进行攻击。此处推荐python语言。同时,sql-labs系统是php写的,这里个人认为可以精读一下每关的源码,同时针对有些关卡,可以尝试着添加一些代码来增强安全性。

    Ps:工具注入和自动化注入可能延后,见第二个版本。请关注博客。

    你该怎么去学?

  4. 安装环境后,动手实验。实践中遇到问题才能更大的激发起兴趣。
  5. 遇到不会查资料,可以在我的博客(www.cnblogs.com/lcamry)中找到一些资料。或者可以请教别人,虚心请教,不耻下问。三人行必有我师焉!
  6. 书山有路勤为径,勤奋是唯一的一条路。

    我的相关介绍

    Blog:www.cnblogs.com/lcamry

    联系QQ:646878467

    课余时间和工作之外时间来写,时间仓促,同时个人实力有限,望各位批评指正。

转载于:https://www.cnblogs.com/lcamry/p/5763164.html

MYSQL注入天书之前言相关推荐

  1. mysql注入天书(一)Basic Challenges

    [独家连载]mysql注入天书(一)Basic Challenges lcamry / 2016-11-11 06:16:00 / 浏览数 19798 <span class="con ...

  2. MYSQL注入天书之数据库增删改介绍

    Background-4 增删改函数介绍 在对数据进行处理上,我们经常用到的是增删查改.接下来我们讲解一下mysql 的增删改.查就是我们上述总用到的select,这里就介绍了. 增加一行数据.Ins ...

  3. MYSQL注入天书之服务器(两层)架构

    Background-6 服务器(两层)架构 首先介绍一下29,30,31这三关的基本情况: 服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务 ...

  4. MYSQL注入天书之order by后的injection

    Background-9  order by后的injection 此处应介绍order by后的注入以及limit注入,我们结合less-46更容易讲解,(在less46中详细讲解)所以此处可根据l ...

  5. B站小迪安全笔记第十三天-SQL注入(MYSQL注入)

    前言: MYSQL 注入中首先要明确当前注入点权限,高权限注入时有更多的 攻击手法,有的能直接进行 getshell 操作.其中也会遇到很多阻碍,相关 防御方案也要明确,所谓知己知彼,百战不殆.不论作 ...

  6. mysql注入总结_mysql注入总结 - osc_wpg0dgym的个人空间 - OSCHINA - 中文开源技术交流社区...

    前言:看玩mysql注入 做一篇总结然后去打GTA 5 正文: mysql注入与access注入不一样.因为数据库的特性不一样 access注入的暴力注入 mysql是有逻辑性的注入 首先得判断是什么 ...

  7. MySQL注入之高权限注入

    MySQL注入之高权限注入 前言 二.高权限注入 1.什么是高权限注入 2.跨库查询思路 1.查看用户名 2.获取所有的数据库名 3.获取指定数据库名下的表名信息 4.获取指定damicms下的表名a ...

  8. 安全面试之MYSQL注入

    前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 安全面试专栏:https://blog.csdn.net ...

  9. Mysql注入bypass攻略

    0x00前言 将最近研究的mysql注入bypass内容和自己的思考做些整理,在分析的基础上,实战bypass国内两款软件型WAF,前半部分内容虽然很基础,但希望大家能够很熟悉这些知识,基础面越广,后 ...

最新文章

  1. Windows下部署最新版青龙、诺兰、傻妞入门保姆级教程
  2. vcode tsconfig.json 无故报错 -- 找不到任何输入
  3. 在laravel5.8中集成swoole组件----初步测试
  4. Color the ball(树状数组区间更新+单点求值)
  5. Linux修改的文件“修改时间”
  6. 原创 | 职场风云 (三)面对压力
  7. 免费计算机网络基础ppt,计算机网络基础
  8. 目标跟踪经典论文阅读(1)MOSSE
  9. xshell绿色版安装,无限制
  10. read.html5.qq.com,如何通过第三方QQ登录网站首页
  11. windows java eclipse_从零开始学 Java - Windows 下安装 Eclipse
  12. 神经网络中BP算法的推导
  13. 被骂“没前途”,那个996的程序员做错了什么?
  14. linux系统进程有哪几种主要状态,Linux 进程状态详解
  15. 【店小蜜】基础介绍-全自动模式
  16. 机器学习中的距离公式
  17. BTC菠萝B1 超高性价比 阿瓦隆1246现货 现货秒发
  18. python源码编译安装 gb18030_Python3 处理 gb18030 乱码
  19. python手机号定位_python手机号前7位归属地爬虫
  20. Android 4G上网流程分析

热门文章

  1. 电脑右键没有新建按钮解决办法
  2. AVAudioPlayer播放音频
  3. Media Player网页播放音频,视频,图片总汇
  4. Windows启动文件的详细介绍
  5. 架构师是如何炼成的?以天猫APP架构开发模式升级工程为例
  6. 简单探讨可牛影像软件中具有肤质保留功能的磨皮算法及其实现细节。
  7. ext3grep practice record
  8. 路由跟踪命令.查看DNS、IP、Mac等
  9. 每周一个 Python 模块 | time
  10. javaScript 之 蚁人微任务