摘要:
布尔盲注和时间盲注 前言 在某些情况下后台会使用错误消息屏蔽来屏蔽报错,同时无法根据报错信息来进行判断,在这时我们需要用到盲注。而盲注分为两种,一种为布尔盲注,一种为时间盲注 使用盲注需要用到的三个函数 1.if函数 定义 if函数根据条件的结果为true或false,返回第一个值,或第二个值 语法 阅读全文
posted @ 2021-08-12 12:38
icui4cu
阅读(1112)
评论(0)
推荐(0)
摘要:
MySQL环境快速配置及基础操作 前言 因为开始学习信息安全,所以免不了要学一些基础知识,其中必然要涉及MySQL的基础操作,一是便于搭建靶场,二也是为了以后SQL注入做准备。虽然之前也学习过PostgreSQL,也做了还算全面的笔记,虽说数据库都是通的,但时间久远,当时也学的浅尝辄止,到现在也差不 阅读全文
posted @ 2021-08-11 19:41
icui4cu
阅读(101)
评论(0)
推荐(0)
摘要:
一、BurpSuite设置 打开Firefox,在插件Foxyproxy里面添加代理127.0.0.1,端口为8080,或者自己在Burp里面设置端口,但是要求代理和Burp设置一致,在Burp的Proxy的Options里面添加端口 每次抓包需要先开代理(Foxyproxy),再打开Proxy-I 阅读全文
posted @ 2021-08-11 18:04
icui4cu
阅读(442)
评论(0)
推荐(0)
摘要:
适用情况 Insert/update/delete型数据库的处理,都是通过报错函数进行数据注入回显的,或者通过DNSlog注入来获取数据。 如:注册,修改,删除等都属于数据库的上述三种操作,其中delete型需要在删除选项处查看网站URL,其余两种只需要在输入数据处进行注入即可 常用报错函数 **u 阅读全文
posted @ 2021-08-11 12:44
icui4cu
阅读(305)
评论(0)
推荐(0)
摘要:
前言 有网站服务的地方就需要有数据库,SQL注入是指Web应用程序对用户输入数据的合法性没有进行判断,前端传入后端的参数是可控的或没有进行过滤的。 当带入数据库进行查询,攻击者通过构造不同的SQL语句来实现对数据库的任意操作 SQL注入的两个条件 参数用户可控,可以修改上传的数据 拼接后的SQL语句 阅读全文
posted @ 2021-08-11 12:41
icui4cu
阅读(357)
评论(0)
推荐(0)
摘要:
数据库的连接:C:\PostgreSQL\9.6\bin\psql.exe -U postgres -d shop SQL的语句编写要有段落感,不可连成一段! 第一章 数据库和SQL DDL:数据定义语言: CREATE :创建数据库和表等对象 DROP:删除数据库和表等对象 ALTER:修改数据库 阅读全文
posted @ 2021-07-19 20:23
icui4cu
阅读(402)
评论(0)
推荐(0)
浙公网安备 33010602011771号