上一页 1 ··· 5 6 7 8 9 10 11 12 下一页
2021年8月24日
Sqli labs less10
摘要: Please input the ID as parameter with numeric value 请输入ID作为带数值的参数 1.延迟5s存在注入漏洞,本关Less9中的单引号换成了双引号,其余均相同 阅读全文
posted @ 2021-08-24 17:15 Nuyoah_QQ 阅读(31) 评论(0) 推荐(0)
2021年8月20日
Sqli labs less9
摘要: Please input the ID as parameter with numeric value 请输入ID作为带数值的参数 Less-9实验考点是:单引号时间盲注 1.http://192.168.2.140:8083/Less-9/?id=1 2.根据提示,该题为时间盲注,因此这里是一个单 阅读全文
posted @ 2021-08-20 17:38 Nuyoah_QQ 阅读(85) 评论(0) 推荐(0)
sqli-labs Less-8
摘要: Please input the ID as parameter with numeric value 请输入ID作为带数值的参数 您的SQL语法有错误 本实验主要是:单引号Bool盲注 注:布尔盲注 界面没有报错回显但是会有明显变化,比我我们写错了url会有内容丢失网页内容丢失的现象。 时间盲注: 阅读全文
posted @ 2021-08-20 16:41 Nuyoah_QQ 阅读(54) 评论(0) 推荐(0)
Sqli labs less7
摘要: 提示:Please input the ID as parameter with numeric value 请输入ID作为带数值的参数 1.输入?id=1进行测试 2.输入?id=1'))%23测试,返回正常 根据题目题意导出文件方向渗透,输入union select 1,database(),u 阅读全文
posted @ 2021-08-20 15:26 Nuyoah_QQ 阅读(62) 评论(0) 推荐(0)
Sqli labs less6
摘要: 1.本题的主要考点是:字符型、双引号、报错注入、双注入 本题解题思路参考上一题,输入?id=1',无报错 输入?id=1" 此时出现报错信息 和less5原理相同, union select count(),1,concat((floor(rand(0)2)),';',(select passwor 阅读全文
posted @ 2021-08-20 14:12 Nuyoah_QQ 阅读(31) 评论(0) 推荐(0)
2021年8月18日
Sqli labs less5
摘要: 本题用到的知识点是盲注 1.查看数据库的version版本号,you are in......标示返回结果是正确的 2.猜测数据库第一位 Database()为security,所以我们看他的第一位是否 > a,很明显的是s > a,因此返回正确。当我们不知情的情况下,可以用二分法来提高注入的效率。 阅读全文
posted @ 2021-08-18 17:41 Nuyoah_QQ 阅读(58) 评论(0) 推荐(0)
Sqli labs less4
摘要: 该题主要是 双引号括号 ") 字符注入 1.http://192.168.2.140:8083/Less-4/?id=1,页面正常,http://192.168.2.140:8083/Less-4/?id=1" 这时出现了报错信息,可以猜想后端的SQL语句为:select username, pas 阅读全文
posted @ 2021-08-18 17:21 Nuyoah_QQ 阅读(53) 评论(0) 推荐(0)
2021年8月16日
Sqli labs less 3
摘要: 1.首先输入?id=1 and1=1和?id=1 and1=2 ,排除为整型注入 2.输入 ’ and 1=1 – + 和 ’ and 1=2 --+报同样的错,尝试双引号闭合 3.双引号闭合后1=1 和1=2 均回显正常页面。所以应该是单引号闭合,验证一下单引号闭合是否成功。 4.floor()函 阅读全文
posted @ 2021-08-16 17:31 Nuyoah_QQ 阅读(47) 评论(0) 推荐(0)
2021年8月13日
Sqli-labs less2
摘要: 1.该题思路与less近似,首先添加参数查询: 2.判断注入点是什么: 3.根据第二点,第二个语句无任何返回,因此union构造要修改为:union select 1,2,3 % 4.判断可显字段 5.爆出数据库名和用户名union select 1,user(),database() 阅读全文
posted @ 2021-08-13 17:41 Nuyoah_QQ 阅读(34) 评论(0) 推荐(0)
2021年8月12日
SQL注入基本原理
摘要: 1.什么是SQL注入攻击 SQL注入攻击通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 2.Web程序三层架构 界面层:访问/呈现HTML内容 业务逻辑层:加载,编译并执 阅读全文
posted @ 2021-08-12 17:33 Nuyoah_QQ 阅读(103) 评论(0) 推荐(0)
上一页 1 ··· 5 6 7 8 9 10 11 12 下一页