简单的来讲,获取敏感数据库信息,通过恶意的sql语句,写入恶意的木马,删除和修改数据库表信息。
绕过认证,获得非法权限,注入可以借助数据库的存储过程进行提权等操作
4 个回答
1、只要权限广,脱库拖到爽
2、如果有写入权限,可以写入webshell
3、可以对数据库进行增删改查操作
4、可以逐步进行提权操作服务器
危害:
(1)会造成数据库信息泄露,暴露用户和管理员的隐私;数据库可能会被恶意操作,具体包括数据库服务器被攻击,管理员账户被恶意篡改等;
(2)操作数据库对网页进行篡改,修改数据库中的值从而被嵌入恶意链接;
(3)通过SQL注入漏洞直接获取webshell或者执行命令导致服务器系统权限被获取
危害
数据库信息泄露:泄露数据库中存放的数据 用户隐私等
获取webshell:当权限为root其知道绝对路径时,可以直接写一句话木马到服务器
网页篡改:注入出后台管理员用户,登陆后台后发布恶意数据 篡改后台数据等
网站挂马:当拿到webshell或者获取到服务器的权限后,可将一些网页木马挂在服务器上,去攻击别人
获取系统权限:当权限足够高时,可以获取系统主机的权限
万能密码:利用特定的payload登陆后台或者其他页面
文件读取:读取敏感文件