SQL注入
文章平均质量分 89
jinxya
只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力!
展开
-
渗透测试基础 - bypass-绕过阻挡我们的WAF(上)
渗透测试基础 - bypass-绕过阻挡我们的WAF(上)简介(bypass 与 waf)网站环境准备常用绕过方法漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!【请进行合法的渗透测试,有关内容只是用作个人复习。】简介(bypass 与 waf)bypass 根据Google翻译的解释来看,是绕过的意思,且绕过是一个动作,那既然是动作,就会根据不同的障碍物的阻拦做出不同的绕过行为,这对应到我们今天的学习中也是如此。WA原创 2021-05-29 00:11:41 · 2878 阅读 · 1 评论 -
渗透测试基础-ORACLE数据库之报错注入
渗透测试基础-ORACLE数据库之报错注入ORACLE数据库ORACLE显错注入靶场演练ORACLE报错注入漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!ORACLE数据库Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。这里先对其做个简单的介绍。既然要学习注入,还是得先了解它的一些语法和特点oracle S原创 2021-04-16 23:25:34 · 449 阅读 · 0 评论 -
渗透测试基础-SQL server数据库之反弹注入
渗透测试基础-SQL server数据库之反弹注入SQL server数据库SQLserver显错注入靶场演练堆叠注入SQLserver反弹注入漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!SQL server数据库既然要学习SQLserver数据库的注入知识,那当然得先了解一下SQLserver的语句。数据库都有着相通的地方,所以其SQL语句也相差不大。先来看一下SQLserver数据库是怎样的一个数据结构。根据截原创 2021-04-15 22:46:28 · 604 阅读 · 0 评论 -
渗透测试基础-MYSQL数据库之DNS注入
渗透测试基础-MYSQL数据库之DNS注入WAF【安全应用防火墙】的黑白名单Apache中间件的独有特性DNS及网站应用MYSQL数据库的文件读取UNC路径DNS注入靶场演练漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!WAF【安全应用防火墙】的黑白名单在我们现在的网站中,像这样的应用防护墙的保护,它名叫WAF。我们这次的靶场也有。进入我们的靶场页面,在页面的最下面,有一行小字,悄悄告诉我们。这里需要一个id传参,我们原创 2021-04-13 22:00:51 · 319 阅读 · 4 评论 -
渗透测试基础-Access数据库之偏移注入
渗透测试基础-Access数据库之偏移注入偏移注入漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!偏移注入偏移注入的应用场景是,当这个地方我们有了表名,但是字段名始终弄不来的使用方法。先来了解一些数据库小知识select * from school代表的是查询school表里面的所有数据(如图)但其实我们可以换其他的写法,来达到相同的查询效果select school.* from school所以咱们这里的原创 2021-04-12 20:21:26 · 363 阅读 · 0 评论 -
渗透测试基础-Access数据库之cookie注入
渗透测试基础-Access数据库之Cookie注入Access数据库Cookie注入Access数据库-Cookie注入靶场演练漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!Access数据库Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。它发布原创 2021-04-11 12:12:35 · 322 阅读 · 0 评论 -
渗透测试基础-宽子节注入
渗透测试基础-宽子节注入宽子节注入出现的原理宽子节靶场演练POST宽子节注入漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!因为电脑最初是由美国人发明的,所以他们的语言,在某种程度上,更具有统一性,比如现在大多数的数据库或者CMS都采用的UTF-8的编码,只有少部分数据库会采用非英文编码的格式来解析代码。我们中国也有自己的编码格式:GBK编码,这也是宽子节当中一个关键点。宽子节注入出现的原理先来介绍一个PHP的防御函数 ,原创 2021-04-10 11:54:49 · 244 阅读 · 0 评论 -
渗透测试基础-盲注(布尔盲注和时间盲注)
渗透测试基础-盲注布尔盲注和时间盲注盲注实现的关键函数布尔盲注靶场演练时间盲注靶场演练漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!盲注的特点如它的名字那样,它关闭了因恶意语句而导致的报错,也没有了像显错注入那样醒目的提醒。它的提示会很隐晦,就看我们有没有能力能让它显现出来。布尔盲注和时间盲注盲注也分布尔盲注和时间盲注,这里分别来了解一下各自的区别布尔盲注:相较于显错注入,反应会更隐晦,比如当执行的恶意语句条件为Fal原创 2021-04-09 23:21:24 · 3195 阅读 · 0 评论 -
渗透测试基础-HEAD注入
渗透测试基础-HEAD注入PHP的超全局变量只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!在讲解HEAD注入前,得明白一些前提知识:PHP的超全局变量PHP的超全局变量在php中的许多预定义变量都是“超全局的”,这意味着他们在一个脚本的全部作用域中都可以使用。创建的一些超全局变量:$_REQUEST (获取GET/POST/COOKIE) COOKIE在新版本已经无法获取$_POST (获取POST传参)$_GET (获原创 2021-04-08 22:48:31 · 990 阅读 · 0 评论 -
渗透测试基础-POST注入
渗透测试基础-POST注入POST注入是什么POST注入靶场演练漏洞总结只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????!POST注入是什么post是一种传参方式,大多出现在各种框处,比如登录框,查询框,和各种与数据库有交互的框。注入攻击是:用户输入的数据当作代码执行,这里有两个关键点关键点一:用户能够控制输入关键点二:原本程序要执行的代码,拼接了用户输入的数据post注入与get注入没有本质的区别,无非就是一个在表单框执原创 2021-04-08 16:54:26 · 1975 阅读 · 0 评论 -
渗透测试基础-显错注入
渗透测试基础-显错注入显错注入是什么网站错误显示恶意语句的尝试进入靶场看看实际情况![在这里插入图片描述](https://img-blog.csdnimg.cn/2021040621394241.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTQ4ODQ5NQ==,size_16,color_FFFFFF,t_70)进一步尝原创 2021-04-07 20:55:41 · 1118 阅读 · 2 评论