- 博客(5)
- 收藏
- 关注
原创 SQL注入(注入姿势和Bypass)
UNION 操作符用于连接两个以上的 SELECT 语句的结果组合到一个结果集合中。前提是两个select必有相同列。注意:要用联合查询进行注入则:页面必须有显示位首先,便要判断注入点的列数,这里使用order by + 列数--+联合查询注入:这里通过查询数据表不存在的数据,从而执行后面的union语句,来获取显示位使用联合查询注入爆出敏感数据:得到了数据库名后,进行下一步,得到表名下一步,得到字段名,强调数据库名和表名可以使查到的数据更准),3--+
2024-03-20 17:39:38
758
1
原创 全面信息收集
(Information Gathering)信息收集是指通过各种方式获取所需要的信息。正所谓“知己知彼,百战百胜”,信息收集就像一场战争中的“深入敌后”的一项“情报收集”任务。在开始渗透测试工作之前,我们通过要对目标进行信息收集工作,找出目标的,然后利用这些漏洞和弱点进行攻击,使得渗透任务得以顺利地完成。在战争中假如你的情报收集工作出错重大错误,战士们牺牲的就是性命,由此可见,情报收集工作的重要性。三个原则:一、准确性原则该原则要求所收集到的信息要真实可靠。
2024-03-08 15:37:11
746
原创 文件上传总结(结合upload靶场)
由于对上传文件未作过滤或过滤机制不严(文件后缀或类型) ,导致恶意用户可以上传脚本 文件,通过上传文件可达到控制网站权限的目的: 攻击者可获得网站控制权限 查看、修改、删除网站数据 通过提权漏洞可获得主机权限: 一种网页后门,以asp、 php、jsp等网页文件形式存在的一种命令执行环境 也可以将其称做为一种网页后门。
2024-02-28 08:52:43
631
原创 网络安全基础总结二
数据库专业的来说,其实就是一种电子的仓库,是专门储存数据和管理数据的一种处所,用户可以对数据库中的数据进行新增、更新或者删除等操作。举个例子,现在每一个人都有很多朋友和同学,为了方便联系,我们在通讯录,建立有关姓名和电话,这个通讯录就是数据库,有时候我们会修改某个电话号码。
2024-02-01 17:56:49
482
1
原创 网络安全基础总结一
渗透测试(Penetration Testing),就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方法。简单来说渗透测试是通过各种⼿段对⽬标进⾏⼀次渗透(攻击),通过渗透来测试⽬标的安全防护能⼒和安全防护意识。攻击机:Kali靶机环境:Win7Nmap 全称为 Network MapperNmap是目前最流行的网络扫描工具,不仅能准确探测单台主机的详细情况,而且能高效地对大范围的Ip地址段扫描。
2024-01-23 23:01:09
955
1
空空如也
khbc靶场burpsuite爆破失败
2024-02-14
TA创建的收藏夹 TA关注的收藏夹
TA关注的人