- 博客(5)
- 收藏
- 关注
原创 sqli-labs Less-5 (报错注入)
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入。1.less 5正常情况,我们构造闭合,发现没有问题利用前几关的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。2.报错注入2.1 extractvalue报错示例:and extractvalue(null,concat(0x7e,(sql_inje.
2022-02-25 16:18:00 4226
转载 SQL注入心得
1.union 联合查询查询当前数据库名报错的语法(如and1=2)+ union select 1,database()查询当前数据库版本union select 1,version()查询当前数据库 表名1.union select 1,table_name from information_schema.tables where table_schema=database() limit 0,12.查询当前数据库所有表,并且拼接在一行显示union select 1,group_co.
2022-02-21 17:18:46 941
原创 Sql-labs 第一关超详细讲解
一.Sql注入含义所谓的sql注入就是通过某种方式将恶意的sql代码添加到输入参数中,然后传递到sql服务器使其解析并执行的一种攻击手法。二.注入思路1.判断是否存在注入,注入是字符型还是数字型2.猜解SQL查询语句中的字段数3.确定回显位置4.获取当前数据库5.获取数据库中的表6.获取表中的字段名7.得到数据三.判断是否存在注入点...
2022-02-21 16:32:42 6079 1
原创 DVWA-Command Execution命令执行漏洞
1.漏洞原理由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。2.命令链接符windows:&&||&|linux:&&||&;&&(逻辑与):只有&&前面的命令执行成功...
2022-01-05 18:05:25 2967
原创 Ubuntu docker安装
1.检查Ubuntu内核docker内核需高于3.0uname -r2.安装dockersudo apt-get install docker.io3.查看docker 版本docker --version4.启动dockersudo systemctl start docker5.查看docker状态sudo systemctl status docker6.关闭dockersudo systemc...
2022-01-04 17:03:35 611
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人