一、SQL注入概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表 ...
分类:
数据库 时间:
2019-12-15 21:36:56
阅读次数:
118
xss,前几天做实验做过了,还是再弄一遍巩固一下,明天开始刷题,真开心 0x00 简介 它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式 ...
分类:
其他好文 时间:
2019-12-01 23:08:50
阅读次数:
194
command execution 大致浏览了一些博客,命令注入的关键是绕过过滤与对linux的命令的熟悉,只有熟悉才有可能对其进行注入 1、low <?php if( isset( $_POST[ 'submit' ] ) ) { $target = $_REQUEST[ 'ip' ]; // D ...
分类:
其他好文 时间:
2019-11-30 21:23:20
阅读次数:
116
import requestsheader={"User-Agent": "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.3 ...
分类:
编程语言 时间:
2019-11-26 22:37:25
阅读次数:
110
日记看来是比较难坚持的了,但是周记是无论如何都可以完成的,复盘已不再是任务这么简单,而是生活不可或缺的一部分。 先是从工作和自我提升方面来说吧。 这周的任务量不大,周一周二我已经把这周的任务都完成了,每天没有工作上的压力,都很轻松。 但是谁让我是一个自觉的人呢,周三开始,我开始练习DVWA靶场和记录 ...
分类:
其他好文 时间:
2019-11-16 12:24:21
阅读次数:
79
打算从0到1,重新做一遍DWVA靶场,复习各个技巧并记录下思路和总结。 Username、Password填入admin/admin 显示 既然题目是爆破,那么就开始爆破。 抓包、放入Intruder,使用我经常用的字典,top1w。未果....... 全是302,不知道我的DVWA是怎么一回事.. ...
分类:
其他好文 时间:
2019-11-12 17:22:07
阅读次数:
124
首先呢,需要先有一个dvwa的靶场,我这里是在本地搭建了一个,先访问127.0.0.1,正常用户名密码登录 这里就以low级别进行操作 选择反射型xss题目,先使用弹窗测试一下<script>alert(123)</script> 确定可以使用代码之后,在搭建的服务器目录下创建一个cookie.ph ...
分类:
其他好文 时间:
2019-10-28 15:06:17
阅读次数:
372
一、测试需求分析 测试对象:DVWA漏洞系统--SQL Injection模块--ID提交功能 防御等级:High 测试目标:判断被测模块是否存在SQL注入漏洞,漏洞是否可利用,若可以则检测出对应的数据库数据 测试方式:手工+Fiddler+ SQLMap工具 url: http://localho ...
分类:
数据库 时间:
2019-10-28 14:57:00
阅读次数:
151
DVWA之SQL Injection--测试分析(Impossible) 防御级别为Impossible的后端代码:impossible.php Submit提交数据时的请求的url:http://localhost:8001/dvwa/vulnerabilities/sqli/index.php? ...
分类:
数据库 时间:
2019-10-28 14:33:23
阅读次数:
160
