- 博客(14)
- 收藏
- 关注
RSS订阅
转载 渗透攻防Web篇-SQL注入攻击高级
前言前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御。有攻必有防,当然还要来探讨一下SQL注入防御技巧。目录第五节 避开过滤方法总结5.1、大小写变种5.2、URL编码5.3、SQL注释5.4、空字节
2016-09-21 21:18:24
479
转载 渗透攻防Web篇-SQL注入攻击中级
目录第三节 利用SQL注入3.1、识别数据库3.2、UINON语句提取数据3.3、枚举数据库3.4、窃取哈希可令3.5、获取WebShell第四节 SQL盲注利用4.1、初识SQL盲注4.2、SQL盲注入技术-基于布尔4.3、SQL盲注入技术-基于时间
2016-09-21 21:15:32
825
转载 渗透攻防Web篇-SQL注入攻击初级
前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注入。目录第一节 注入攻击原理及自己编写注入点1.
2016-09-21 21:07:38
2083
原创 Zenmap的基本概念
Zenmap是nmap的图形化界面。 ---交互性好,界面输出更为直观,可绘成拓扑图 ---可以比较两次的扫描结果 ---记录扫描的结果 ---进行配置进行相应的扫描 ---会显示所执行的指令,便于检查指令的正确性1.新建配置文件,可选菜单项new profile或编辑command文本框
2016-08-09 21:43:47
6573
原创 Nmap的用法与基本命令
Nmap用法:Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 它是网络管理员必用的软件之一,用以评估网络系统安全。正如大多数工具被用于网络安全的工具,Nmap 也是不少黑客及骇客(又称脚本小孩)爱用的工具 。系统管理员可以利用Nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用Nmap来搜集目标电脑的网络设定,从而计划攻
2016-08-09 21:35:32
1265
原创 知识点五:正则表达式
正则表达式 含有文本和特殊字符的字符串1.用match()匹配字符串 match()函数尝试从字符串的开头开始对模式进行匹配,如果匹配成功,就返回一个对象,而如果匹配失败,就返回none。匹配对象的group()方法用来显示那个成功的匹配。 import re
2016-10-10 21:03:42
238
原创 知识点三:错误与异常
一.检测和处理异常 1. try语句有两种语句形式,try-except和try-finally,这两个语句是互斥的,只能使用其中的一种,一个try语句可以对应一个或多个except子句,但只能对 应一个finally子句,或是一个try-except-finally复合语句。
2016-10-10 20:51:45
308
原创 知识点二:文件的输入和输出
一.输入 read()方法用来直接读取字节到字符串,最多读取给定数目的字节,如果没有给定size参数(默认值为-1)或者size值为负,文件将被读取直至末尾。 readline()方法读取文件的一行(读取下一个结束符之前的所有字节)。然后整行,包括行结束符,作为字符串返回;参数类似于read(),若一共
2016-10-10 20:50:12
273
原创 知识点一:序列
一.序列:字符串,列表和元组 字符串 1原始字符串操作符(r/R) 在原始字符串里,所有的字符都是直接按照字面的意思来使用,没有转义特殊或不能打印的字符。 2.Unicode字符串操作符(u/U) 用来将标准字符串或者是包含Unic
2016-10-10 20:48:39
441
转载 渗透攻防Web篇-SQL注入攻击初级
前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注入。目录第一节 注入攻击原理及自己编写注入点1.
2016-09-21 21:25:33
359
转载 Metasploit使用PostgreSQL作为数据库
(1)启动postgresqlroot@kali:~# service postgresql start(2). 设置用户与数据库root@kali:~# su postgrespostgres@kali:/root$ createuser msf4 -PEnter password for new role:Enter it again:post
2016-08-09 21:47:26
720
原创 nbtscan之类的SMB枚举工具用法
nbtscan工具可以扫描IP地址,并获取NetBIOS名称信息,所生成的扫描报告含有相应主机的IP地址,NetBios计算机名,服务名称,已登陆的用户名和MAC地址信息。 这些信息将在后续阶段发挥最重要的作用。 1.扫描192.168.137.1-254内的各主机的netBIOS名称,使用下述命令
2016-08-09 21:45:30
1236
原创 Metasploit基础
-------------------Metasploit基础---------------------------------1.专业术语 (1).渗透攻击----exploit,利用安全漏洞进行安全攻击行为 (2).攻击载荷----payload,期望目标系统在 被渗透攻击之后去执行的代码 (3).
2016-08-09 21:39:20
242
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人