- 博客(6)
- 收藏
- 关注
原创 PHP连接数据库
echo "恭喜".$row['username']."登陆成功!echo "数据插入不成功".$conn->error;echo "创建不成功".$conn->error;echo "创建不成功".$conn->error;echo"非法登录!#关闭连接 连接jiang数据库。echo "数据插入成功";echo "连接失败";echo "连接成功";echo "创建成功";echo "连接失败";echo "连接成功";echo "创建成功";# 创建数据库jia。
2024-01-10 20:43:19 329
原创 XSS原理及类型
与csrf不同,这边跨站没有实质意义,csrf中有跨网站的意思,xss更多的是scripting,即前端的Javascripting脚本。如果服务器没有做任何过滤,服务器响应后把含有恶意JavaScript的脚本页面返回给客户端。存储型:持久性,攻击脚本存储再目标服务器数据库中,前端——后端——数据库——前端。攻击者将恶意的JavaScript的脚本存储在服务器数据库或者文件系统中。存在于:搜索框,登陆表单等,可以获取用户的cookie或者钓鱼欺骗。反射型:非持久性,前端——后端——前端。
2024-01-10 20:21:20 292
原创 Sql注入Medium
实验准备:设置代理,打开代理,火狐浏览器打开手动代理,高级设置,about:config bp安装完成。结论:查到到两个数据库名称,一个是dvwa,一个是admin。结论:获取到二个数据表,分别是guestbook,users。根据:decoder 十六进制转换 ASCII码。解密 https://www.cmd5.org/结论:查看到users表的账号和密码。如果是字符串型:1‘ or 1=1。3、获取dvwa数据库中的数据表。那就是数字型:1 or 1=1。结论:注入类型为数字型。
2024-01-10 20:09:34 425
原创 SQL盲注--布尔盲注
1‘ and (length(substr((selcet table_name from information_schema.tables where table_schema ='dvwa' limit 1,1),1)))=5#---------------成立,得到有5个字符。输入端:1‘ and table_schema=dvwa的数据库中有多少行 >或<或= # --------------存在。1' and length(database())<2#-----------不存在。
2024-01-10 19:56:49 567
原创 SQL时间盲注
1' and if(ascii(substr(select column_name from information_schema.columns where table_name='users' and table_schema='dvwa' limit 4,1),1,1))=112,sleep(5),1)#-----页面延迟,对照ascii表可知为p。
2024-01-10 19:47:21 1237
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人