SQL注入
文章平均质量分 89
水到渠成~
喜欢唱,跳,rap,
展开
-
记一次使用sqlmap对oracle进行like注入
环境:jsp+oracle从FUZZ的结果以及http响应的长度来看,普通的注入被waf拦截,存在like注入like注入其实也并不是两边都要有 %,我们只需要闭合单引号就行了:接下来用sysdata参数可以确定数据库为oracle。sysdata函数为oracle数据库的日期,length求的是字符长度,可构造语句:1’ AND LENGTH(SYSDATE) LIKE LENGTH(SYSDATE) AND ‘NGjD’ LIKE 'NGjD现在可以确定存在注入了,于是移步到工具使用环原创 2021-12-17 20:58:40 · 3953 阅读 · 0 评论 -
sql注入dvwa和bwapp实战
先来了解一下数据库默认会有四个库information_schemamysql:保存账户信息,权限信息,存储过程,event,时区等信息performance_schema:用于搜集数据库服务器性能参数test这里主要介绍testinformation_schema库information_schema数据库是MySQL系统自带的数据库,它提供了数据库元数据的访问方式。感觉informa...原创 2019-10-18 23:16:10 · 474 阅读 · 0 评论