180519-180520[web潜修第六到第七天]

最新推荐文章于 2022-07-29 14:33:32 发布
最新推荐文章于 2022-07-29 14:33:32 发布
阅读量113 收藏
点赞数
分类专栏: web路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiutyu/article/details/80386038
版权

昨天打RCTF,一眼看过去web题才做十几个人,感觉没什么希望,然后转去看了。然后就在杂项做出了2题。然后偷懒休息了一天没更新。


今天看了下sqli-lab,原来and 和 or的过滤可以用 &&和||绕过的,空格过滤则可以用/**/,但是很多时候都会过滤*和/,今天看那些题还有过滤-和#那样就没法注释掉后面的'了或者多余的东西,然后看到一个骚操作。用1'或者or '1'='1 来闭合后面的',用%0a和%a0去绕过空格过滤。emmm有点6,没想到还有这个操作。


今天还没时间去试一下这些,仅仅是看了记住了,明天找个时间试验一下先。



进度:

看了sqli-lab28以前的,其他还是老样子



明日计划:

sqli-lab 25-27,试验一下。

Yi0nurs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java版ss源码-SpringMvcMybatis:SpringMvcMybatis项目框架整合,加入bruid数据库连接池
06-04
前面网友说我为啥很久不更新博客了,我告诉他们我准备潜修.其实是我的博客被人批评是在记流水账(一脸尴尬). 再次安利一波,博客地址: 本文中的图片用了个人服务器存储,网速较慢,各位老司机耐心等待. 工具 IDE为idea15 ...
论文研究-中国系统工程学会名誉理事长、名誉会员名单.pdf
09-19
论文研究-中国系统工程学会名誉理事长、名誉会员名单.pdf,摘要 名誉理事长:钱学森薛暮桥 名誉会员:马肚骏李国千关文俊吴几康沈无余潜修严彼钧 罗沛霖钱伟
180515-180516[web潜修第二天&&第三天]
Yi0nurs的博客
05-16 111
本来想昨天写的第二天,结果发现手机上居然不能写博客???看来是我高估了CSDN了= =所以还是老老实实,今天在电脑前敲字吧....看到了sqli-lab 7,感觉整个人都不好了,原来还能把结果保存到文件上,然后把一句话导入到文件里面,然后菜刀或者蚁剑连接,这波操作真的666,今天实践了一下发现了点问题。在构造语句?id=UNION SELECT 1,2,3 into outfile "c:\\wa...
180523[web潜修第十天]
Yi0nurs的博客
05-23 127
看了下order by注入,实践了一下,感觉好像和普通的注入差不多,主要是用到rand函数比较多。sort?=rand(盲注语句),如果对于有报错回显的,可以使用报错注入用extractvalue函数构造刚刚也去做了下南邮的题目,感觉比以前好多了,自己做出来了两题。看来数据库和注入没白学。打算六月份或者七月份就把nisp一级给考了,不知道用处大不大,考了再说,现在的我还是太弱了,等看完sql注入就...
180518[web潜修第五天]
Yi0nurs的博客
05-18 112
今天看了下第十七关,是在passwd注入的,感觉昨天说的东西打脸了。emmm,日常打脸。然后今天学了cookie注入和referer注入还有user-agen注入,有点意思,原来我还有那么多不懂。学了新的报错语句构造,可以爆数据库所在目录,可以双重构造语句。extractvalue函数,basedir字段。总体来说今天学的东西很少很基础的东西。进度:sqli-lab 22/65盲注✔,报错✔,HT...
180514[web潜修第一天]
Yi0nurs的博客
05-14 142
玩了几天sqli-lab了是时候总结一下学过的东西了。sqli-lab1——报错注入第一步,猜列数,用order by 猜列数,然后得到列数是3.第二步,爆可回显字段,得到2,3列是可以回显的。?id=0' union select 1,2,3 -- - 至于这里为什么要用0而不是用1是因为根据具体php而看的,在这一关用0会爆出所有信息。第三步,爆所有数据库。?id=0' union selec...
180521[web潜修第八天]
Yi0nurs的博客
05-21 89
今天看了有关服务器解析的题目和宽字节注入,在暑假的时候看了盲注和宽字节注入但是感觉没用上一直都只是处于知道的状态,今天实践了一下才知道宽字节注入的实际用途,用%df来消掉'前面的\,由于一个函数的转义,把'转成\',所以不能正常注入,通过宽字节把\消除掉。至于服务器的解析问题,我终于知道红帽那个题为什么是用JSP马了,原来是是tomcat的原因,只能解析jsp不能解析php,难怪那些大佬一眼就看出...
180517[web潜修第四天]
Yi0nurs的博客
05-17 143
今天完成了sqli-lab 11-16【post注入】,其实都是没太大区别的,要么是单引号的补全问题,要么就是报错信息会被注释掉,要自己用布尔或者时间型盲注猜解。以前一直做的搜索框、登录框那些就是post注入,现在回想起以前那些题感觉还是挺简单的,打算等等去某吧继续做一下CTF题巩固一下。post注入要点:一是要留意单引号或者括号的闭合,后续的多余部分要记得注释掉,其次就是在username框中构...
180522[web潜修第九天]
Yi0nurs的博客
05-22 129
今天看得不多,看到了45关了,了解了注入对于数据库结构的影响,以及可以插入或者修改数据库内容,已经不是简单的查询了。最近周末也有学数据库结构和查询,今天天书里的数据库语句我都看懂了,不像以前别人的writeup都看不懂了,等看完天书就再了解一下SSRF和CSRF,再看一下数据库解析就差不多了,感觉比以前好多了,扫了一下自己的盲。进度:sqli-lab 45/65明日计划:orderby注入看一下,...
蚂蚁三面滑铁卢!遭分布式截胡,靠这些笔记潜修 30 天,挺进京东
weixin_70730532的博客
07-29 125
分布式系统在互联网公司中的应用已经非常普遍,开源软件层出不穷,这么多开源分布式系统,Nginx,Zookeeper,Kafka,RabbitMQ,RocketMQ,Redis,MongDB,分布式事务,elasticsearch我们该如何入手学和分析呢,从而避免在开源的汪洋中迷失自己?如果你还在学分布式技术,这些文档笔记对您的帮助肯定很大!httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
To be a Amazoner - 需要潜修的技能(mark以自勉)
梦想照旧实现
06-09 799
1. Software Development Engineer (SDE)       Working Location: Beijing, China  Payment : >200k/y     Do you enjoy solving very complex problems with simplest solutions? Are you excited about bu
深水半潜修井平台电力系统FMEA关键点.pdf
08-28
深水半潜修井平台电力系统FMEA关键点.pdf
2322140088-0b2a877d-bae9-4a8f-9267-bef87d63dd3a (1).zip
06-17
2322140088-0b2a877d-bae9-4a8f-9267-bef87d63dd3a (1).zip
简历精美模板酷黑炫彩.zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
protobuf-3.12.1-cp37-cp37m-win_amd64.whl
最新发布
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于51单片机实现的播放音乐
06-17
# c51-play-music 51单片机播放音乐 ## 编译方法 ### 蜂鸣器 1. 将mml2beep-master放到`scripts/beep.json` 2. 运行`scripts/tone_to_loop_count.py` 3. 编译`beep/beep.uvproj` ### DA转换 1. 将音频文件剪辑到大约10秒,重采样到大约5000Hz采样率,保存到`scripts/flower dance.wav` 2. 运行`scripts/wav_to_code.py` 3. 编译`dac/dac.uvproj` ### PWM 1. 将音频文件剪辑到大约10秒,重采样到大约5000Hz采样率,保存到`scripts/flower dance.wav` 2. 运行`scripts/wav_to_pwm.py` 3. 编译`pwm/pwm.uvproj`
简历模板简洁风简洁干练简历模板简历模板简洁风(简历模板-).zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
AVS之MRM(Multi-Room Music)文档
06-17
AVS之MRM(Multi-Room Music)文档
ubuntu连接github远程库
04-11
你需要在终端输入以下命令: 1. 首先安装git:sudo apt-get install git ... 3. 将本地的一个项目文件夹初始化为Git仓库:git init ...5. 拉取GitHub上的代码:git ...6. 推送你的修改到GitHub上:git push origin master

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值