- 博客(4)
- 收藏
- 关注
RSS订阅原创 SQL注入实战——post基于报错的注入
使用admin or '1'='1':这种构造方式在已知用户名的情况下使用。通过将用户名设置为admin,并且利用逻辑运算符构造出admin or '1'='1'的条件。由于'1'='1'总是为真,因此即使密码部分为假,整个条件也因为用户名的真实性而成立。例如,使用** or 1=1 #作为万能用户名,其中#用于注释掉其后的代码,使得密码部分被忽略,而由于1=1总是为真,因此整个条件成立。那么,我们的万能用户名应该为admin") or 1=1 --注:万能密码中的密码随便输入即可,也可以不输入!
2024-09-28 20:36:33
285
原创 SQL注入实战——get基于报错的注入
information_schema.tables:从information_schema库里面的tables表的爆出。查询结果如上所示,union联合查询能帮助我们找出第几个字段的内容放在login name和password的位置;group_concat(username,0x3a,password):获得username和password字段。因为ID=0,所有真正的用户名和密码无法查询,用union联合查询查到在第2和3字段。这里我们从1开始试,发现3可以,证明数据库是有编号为3的字段。
2024-09-25 17:07:53
688
原创 MySQL连接navicat报错:“无法连接到“本地主机”上的服务器”
(这里要记住自己的mysql版本号,比如我的是MySQL80)这种情况是因为MySQL并没有启动,我们将其启动即可。打开全局搜索>>>输入服务>>>打开后找到mysql。注意:命令提示符建议管理员身份运行,以防止权限不足!在命令框中输入 set start MySQL80。(这里MySQL80是我自己的MySQL版本号 )MySQL连接navicat出现以下报错。win+R 输入 cmd 打开命令提示符。启动后即可成功连接navicat。这时,就可以成功连接了。选中后右键>>>启动。
2024-09-23 15:51:15
334
原创 phpstudy实战靶场搭建
链接:https://pan.baidu.com/s/1ilNecrKCENAK7Oi4KIp_YQ?接着找到sql-connections文件>>>db-creds.inc,用记事本编辑此文件。(有可能提示你没有权限打开该文件,请向管理员申请权限。通过百度网盘分享的文件:sqli-labs-php7-master.zip。注:如果MySQL无法启动,请留言!压缩包解压缩后将全部文件复制至此处。保存后就可以打开该靶场自己练习啦!启动阿帕奇和MySQL。当然,我肯定会分享给你。打开后显示未找到请求。
2024-09-21 16:41:18
422
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人