mysql注入攻击扫描备忘;

web服务器出现漏洞,很容易被人家扫描,并尝试注入mysql:

今天尝试着扫描一下真发现网站被注入测试了:贴一段代码:

GET /?fbconnect_action=myhome&fbuserid=1+and+1=2+union+select+1,2,3,4,5,concat(user_login,0x3a,user_pass),7,8,9,10,11,12+from+wp_users-- HTTP/1.0" 301 184 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1667.0 Safari/537.36"

数据库已经被暴力破解:然后跟开发说下叫他们调整代码:

一般注入攻击有几个关键字段:

hex select concat from information_schema union

可以使用 cat access.log | grep union 查看

时间: 2024-11-10 14:32:48

mysql注入攻击扫描备忘;的相关文章

mysql 常用命令(备忘)

1:使用SHOW语句找出在服务器上当前存在什么数据库:mysql> SHOW DATABASES; 2:2.创建一个数据库MYSQLDATAmysql> CREATE DATABASE MYSQLDATA;3:选择你所创建的数据库 mysql> USE MYSQLDATA; (按回车键出现Database changed 时说明操作成功!) 4:查看现在的数据库中存在什么表mysql> SHOW TABLES;5:创建一个数据库表mysql> CREATE TABLE MYT

php mysql注入攻击解决方案

首先说说sql注入攻击的模式,基本上都是后台在接受前端传递的参数的时候将sql代码或脚本代码混入到提交信息中,如果在接受提交的参数的时候没有做精确的数据验证,很可能就让别人钻了空子:轻则暴库,重则数据库数据都会被删: 所以想要预防sql注入, 关键是程序员写的代码一定要严谨,对数据做严格的验证,数据类型,长度,正则等都可以做: http://hudeyong926.iteye.com/blog/703074这个里面验证规则可以参考: 在做防止sql注入的时候需要按照你传入参数的类型进行过滤,理论

ms17010批量扫描备忘

漏洞扫描一: use auxiliary/scanner/smb/smb_ms17_010 set rhosts 192.168.0.1-192.168.0.254 set ShowProgress false set ConnectTimeout 5 set threads 16 services -r tcp -p 445 -R run 扫139端口的话 set SMBDirect false set RPORT 139 或者 unset SMBDirect set RPORT 139 漏洞

Mysql数据库常用命令备忘

SHOW DATABASES                                //列出 MySQL Server 数据库. SHOW TABLES [FROM db_name]                    //列出数据库数据表. SHOW TABLE STATUS [FROM db_name]              //列出数据表及表状态信息. SHOW COLUMNS FROM tbl_name [FROM db_name]     //列出资料表字段 SHOW F

MySql UPDATE更新语句备忘

在mysql中,不能直接使用set select的结果,必须使用inner join: update tb1 inner join (select `字段` from tb2)  tb3 on tb1.id =tb2.id  set tb1.`字段1` = tb3.`字段1` 在sql server中,我们可是使用以下update语句对表进行更新: update a set a.xx= (select yy from b) where a.id = b.id ; 类似JSON解析,MySql 5

mysql常用命令(备忘)

1.登录 mysql -u帐号 -p密码 2.修改密码 set password for 用户名@localhost = password('新密码'); 原文地址:https://www.cnblogs.com/liaozhenghan/p/12613189.html

mysql 触发器的使用(备忘)

触发器创建语法四要素: 1.监视地点(table) 2.监视事件(insert/update/delete) 3.触发时间(after/before) 4.触发事件(insert/update/delete) 语法: create trigger 触发器名称 after/before insert/update/delete on 表名 for each row begin sql语句; end; 不难理解,例如 before insert on 表名,是在insert操作之前触发. 注意old

Mysql注入备忘

mysql注入中常用到的函数 database()查询当前数据库 current_user()查询当前用户 @@datadir查询数据库路径 @@version_compile_os查询操作系统版本 version()查询数据库版本 concat_ws(separator,str1, str2)含有分割符连接字符串 concat_ws(0x3a, version(), user(), database()) group_concat()含有分割符连接字段 group_concat([DISTIN

SQL注入备忘单

Find and exploit SQL Injections with free Netsparker SQL Injection Scanner SQL Injection Cheat Sheet, Document Version 1.4 About SQL Injection Cheat Sheet Currently only for MySQL and Microsoft SQL Server, some ORACLE and some PostgreSQL. Most of sam