And 1=1 1=2
Order by xx
Union select 1,2,列名,… From 表名web
经典上传截取拿shell(修改当前页面的参数,达到伪造恶意攻击)
经典上传抓包拿shell(抓数据包,利用工具去自动判断验证方式,修改并上传)sql
'or'='or' 真条件绕过不安全的过滤机制 登录框输入注入语句查询利用(不安全的过滤机制)
X.asp;.jpg x.asp;x.jpg(文件格式形式解析) X.asp/x.jpg(文件夹形式解析)
修改上传类型参数,进行上传后门格式 结合解析漏洞加以利用
0xA0后台功能利用 7
0xA1 配置文件插马 7
0xA2 数据库备份 8
0xA3 后台中的上传页面 8
0xA4目录遍历与任意文件下载 8
0xA5 利用SQL执行功能导出SHELL 9shell
结合xss攻击盗取cookie,结合CRSF攻击劫持管理浏览器 获得注册用户,能够假装cookie,或者直接上传文件验证上传漏洞
基于同服务器上的不一样站点的跨库,利用到sql命令去获得一些信息