- 博客(2)
- 收藏
- 关注
RSS订阅原创 SQL注入原理及手法
页面显示的是第一张虚拟表的内容,那么我们可以考虑让第一张虚拟表的查询条件为假,则显示第二条记录。确定之后截取数据库名的字母 and ord(substr(database(),1,1))=99..在注入点的判断过程中,发现数据库中SQL语句的报错信息,会显示在页面中,因此可以进行报错注入。漏洞原理:1.程序编写者处理程序和数据库交互的时候,使用字符串拼接的方式构造SQL。猜数据库名长度:and length(database())=1..2...3。利用页面返回的布尔类型状态,正常或者不正常。
2023-02-09 15:45:54
106
1
原创 DOS批处理
color 0a #设置字体颜色 0--背景 a--字体颜色。net user 用户名 密码 /add /del #修改账户名密码,添加新用户。set /p u=(字符串) #获取输入的字符,赋值给变量u。if "xxx"=="xxx" 命令1 #条件成功,执行命令1。shutdowm -s -t 100 #定时关机。:menu #指定区块,例:1、:2、:3....%u% #提取u的值。@echo off #关闭回显。
2023-02-09 14:26:39
76
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人