不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

SQL-injection

一次巧合偶然的sql注入-seo优化_前端开发_渗透技术

一次巧合偶然的sql注入

hush阅读(46)赞(0)

一直以来,都想摆脱sqlmap的束缚,通过自定义脚本来完成 某月某天,挖盒子过程中,burpsuite扫出某个sqli,花了点时间测了下,确实有些搞头。 是一个from子查询payload,select*from(select sleep(...

SQL注入之ModSecurity防火墙绕过-seo优化_前端开发_渗透技术

SQL注入之ModSecurity防火墙绕过

hush阅读(92)赞(0)

研究人员在对网站进行渗透测试时,发现该网站存在SQL注入点,可以绕过 “mod_security” 防火墙。ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF),用于实时Web应用程序监视,日志记录和访问控制。 在网站中...

记一次艰难的SQL注入(过安全狗)-seo优化_前端开发_渗透技术

记一次艰难的SQL注入(过安全狗)

hush阅读(88)赞(0)

1.1 前言 最近在挖补天的src,然后挖出了不少SQL注入,完了出了数据库名就不管那么多提交了。今天挖了个报错注入的,突然一激灵,说我不能这样颓废下去了,刚好是个后台登录的界面,我决心要登进它的后台。      2.1 注入测试 bp抓包...

有意思的orderBy注入-seo优化_前端开发_渗透技术

有意思的orderBy注入

hush阅读(118)赞(0)

前言 这是我一次项目中遇到的一个order by注入,因为发现确实需要点眼力,所以我记录下来,并且自己把流程写了出来。 代码实现 我用了上面截图的一小段代码去实现这个流程。 漏洞探测   下面我放了三个图,分别是order by ...

记一次艰难的SQL注入(过安全狗)-seo优化_前端开发_渗透技术

记一次艰难的SQL注入(过安全狗)

hush阅读(96)赞(0)

1.1 前言 最近在挖补天的src,然后挖出了不少SQL注入,完了出了数据库名就不管那么多提交了。今天挖了个报错注入的,突然一激灵,说我不能这样颓废下去了,刚好是个后台登录的界面,我决心要登进它的后台。      2.1 注入测试 bp抓包...

基于 MySQL 错误的 SQL 注入-seo优化_前端开发_渗透技术

基于 MySQL 错误的 SQL 注入

hush阅读(107)赞(0)

http://ip/index.php?id=1 网站加载成功 http://ip/index.php?id=1' 出现错误信息: You have an error in your SQL syntax; check the manual...

sqlmap不为人知的骚操作-seo优化_前端开发_渗透技术

sqlmap不为人知的骚操作

hush阅读(137)赞(0)

一、注入前知识补充 sqlmap参数: –prefix,–suffix 在有些环境中,需要在注入的payload的前面或者后面加一些字符,来保证payload的正常执行。 例如,代码中是这样调用数据库的: $query = "SELECT ...

Bypass云锁MySQL注入总结-seo优化_前端开发_渗透技术

Bypass云锁MySQL注入总结

hush阅读(143)赞(0)

MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字...

Mysql攻击总结-seo优化_前端开发_渗透技术

Mysql攻击总结

hush阅读(193)赞(0)

Mysql数据库在无论是在渗透测试还是正常使用都是比较常见的数据库,周末没事做,顺便总结梳理了mysql近些年的常见攻击利用方法。 0x01 简单介绍 MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 ...

SQL手工注入总结-seo优化_前端开发_渗透技术

SQL手工注入总结

hush阅读(214)赞(0)

虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可...