web
cheese0_0
在校学生,学习中。
展开
-
#学习笔记#SQL注入原理——手工注入access数据库
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面查询的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的 字符串来传递,也会发生sql注入。 SQL注入可以协助攻击者登录数据库执行命令,有些会使账户获得更高的权限对数据库进行操...原创 2018-07-30 16:47:07 · 1042 阅读 · 0 评论 -
后台登录(实验吧)writeup
本博客多为与信息安全相关的博文,我希望以此来记录自己的学习轨迹,如有错误,欢迎交流指正。终于下定决心入门ctf,在实验吧上尝试第一道题、迈出第一步。 原题链接:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 先看源码 关注这里的sql语句sql = "SELECT * FROM admin WHERE usernam...原创 2018-07-30 16:44:53 · 1073 阅读 · 0 评论 -
#学习笔记#WEB攻防与渗透技术(一)web安全概述
攻击网络服务器,远程控制机器,例如更换图片 SQL注入的漏洞,可以使用在url后加入语句 and 1=1/and 1=2来判断是否存在漏洞 服务器里的用户:两个禁用的,两个搭建网站用户,管理员用户 打开sqlmap文件夹,打开cmd命令行。 **攻击语句:**sqlmap.py -u “网页地址” –os-shell 获取系统shell 黑客常用的一些命令: Ne...原创 2018-08-05 13:57:15 · 2199 阅读 · 0 评论 -
#学习笔记#SQL注入及DVWA之php+mysql手工注入实验
手工注入 sql注入一些理论 1、理解万能密码使用 aps+access数据注入 2、php+mysql环境sql注入(流行)静态网页:html或者htm,不需要服务器解析其中脚本。 不依赖数据库;灵活性差、制作、更新、维护麻烦;交互性较差 哪些地方存在注入漏洞? 参数名:id=36 pass=‘aaa’ 参数值 cookie 目录名 文件名 ……...原创 2018-08-14 17:41:48 · 1642 阅读 · 0 评论 -
#学习笔记#WEB攻防与渗透技术(二)
WEB系统组成 协议(http) 中间件(服务器和客户端之间的通信,中间件相当于二者的翻译官) 服务端(百度、新浪..存储想要的资源) 客户端 客户端拿浏览器通过HTTP协议来访问web服务器,服务器端利用中间件来访问内容,通过HTTP协议传给客户端,从而客户段能看大内容。HTTP: 应用层:与用户进行交互,HTTP属于应用层,TCP/IP组中的高层协议。 客户端先利用TCP协...原创 2018-08-08 17:00:03 · 1267 阅读 · 0 评论