不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

SQL-injection

记录一次众测平台邀请码获取-seo优化_前端开发_渗透技术

记录一次众测平台邀请码获取

hush阅读(36)赞(0)

0x00 背景 今天刚到公司,看到刚哥在群里发的消息。 打开一看是个众测平台,注册的时候提示需要邀请码,而邀请码的获得方式有两种,一种是老用户邀请,另一种则需要通过平台提供的一个小游戏获取flag,然而我们也不认识老用户,没办法那只能去找f...

溯源反制之MySQL蜜罐研究-seo优化_前端开发_渗透技术

溯源反制之MySQL蜜罐研究

hush阅读(27)赞(0)

前言 前不久,零队发了一篇《MySQL蜜罐获取攻击者微信ID》的文章,文章讲述了如何通过load data local infile进行攻击者微信ID的抓取,学习的过程中发现虽然问题是一个比较老的问题,但是扩展出来的很多知识都比较有意思,记...

记一次SQLmap实战-seo优化_前端开发_渗透技术

记一次SQLmap实战

hush阅读(53)赞(0)

简介: sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsof...

项目实战 | 报错SQL注入绕过WAF-seo优化_前端开发_渗透技术

项目实战 | 报错SQL注入绕过WAF

hush阅读(81)赞(0)

报错的存在 一个有趣的点:http://domain.com/xxx/news.php?id=xxx 打开URL时,遇到了MySQL错误。 Warning: mysql_fetch_assoc() expects parameter 1 t...

前端加密加签之sqlmap自动化测试-seo优化_前端开发_渗透技术

前端加密加签之sqlmap自动化测试

hush阅读(59)赞(0)

前言 前阵子遇到某项目,在渗透测试过程,本想使用sqlmap测试一下站点有没有sql注入,无奈发现站点对携带的所有请求参数,做了前端加密并且对加密证书做MD5,一旦改包服务器就提示数据被篡改。于是我想到mitmproxy,可以让sqlmap...

PostgreSQL 高权限命令执行漏洞-seo优化_前端开发_渗透技术

PostgreSQL 高权限命令执行漏洞

hush阅读(110)赞(0)

PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。 默认账号密码为postgres/postgres。 首先连接...

SQL注入速查表与Oracle注入速查表总结-seo优化_前端开发_渗透技术

SQL注入速查表与Oracle注入速查表总结

hush阅读(50)赞(0)

(一)SQL注入速查表 0x00 目录 盲注 关于盲注 实战中的盲注实例 延时盲注 WAITFOR DELAY [time](S) 实例 BENCHMARK()(M) 实例 pg_sleep(seconds)(P) 掩盖痕迹 -sp_pas...

SQL手工注入总结-seo优化_前端开发_渗透技术

SQL手工注入总结

hush阅读(103)赞(0)

虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可...

SQL注入思路拓展-seo优化_前端开发_渗透技术

SQL注入思路拓展

hush阅读(97)赞(0)

注入的几个问题 SQL注入所涉及到的东西无非就以下几方面 哪里会经常出现注入 bypass waf 如何快速定位重要数据表 大数据表托数据 注入读写文件 执行命令   哪里经常出现注入 要想利用注入,首先你得挖到一个注入点,在大多...

SQL注入速查表-seo优化_前端开发_渗透技术

SQL注入速查表

hush阅读(187)赞(0)

0x00 关于SQL注入速查表 现在仅支持MySQL、Microsoft SQL Server,以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种插入语、不同的代码环境以及各种不常见甚至奇特...