- 博客(12)
- 收藏
- 关注
RSS订阅原创 SQL注入之sqli-labs靶场记录(三)
使用limit 0,1查询第一个数据,limit 1,1查询第二个数据,依次往下查询。(3)按照常规步骤使用order by判断列数,与之前一样为3列。(4)使用联合查询,发现没有回显位置,这时我们就需要考虑。发现数据显示不完整,我们可以使用limit分页,格式为。将后面的语句注释掉,页面正常。(1)该注入为字符型。(2)在语句后面添加。
2025-06-11 16:59:17
369
原创 SQL注入之sqli-labs靶场记录(四)
sqlmap:是一款开源的自动化SQL注入工具,主要用于检测和利用SQL注入漏洞,支持数据库指纹识别、数据提取及系统命令执行等功能。它是使用python编写的SQL注入神器,支持报错注入,布尔盲注,时间盲注等。布尔盲注:布尔型数据只有true和false两种结果,当语句执行正确时返回true,即显示正常,当语句错误时返回false,即显示异常。
2025-06-11 16:18:48
1029
原创 SQL注入之sqli-labs靶场记录(二)
进一步判断字段数:order by 3 --+,回显正常,为4时报错。判断注入类型:输入?id=1q,回显正常,可判断为字符型注入。输入id=1’,回显异常,发现有。,依旧报错,尝试将后面语句注释掉。字样,尝试在语句后面添加。判断当前数据库中的数据表。判断当前数据库,版本。
2025-06-01 01:31:58
184
原创 SQL注入之sqli-labs靶场记录(一)
基于kali搭建的sqli-labs靶场,靶场搭建参考博客sqli-labs适配的php版本比较低,php5.x或php7.x,我的php8.1版本太高了,出现了不太适配的情况,输入?id=1页面没有反应或返回页面不是预期的结果参考文章修改每个关卡的result.txt文件将关卡下的index.php文件中的fwrite、fclose两条命令注释掉遗留问题:报错页面没有黄色提示字体。
2025-06-01 01:26:58
889
原创 sql注入基础
sql注入原理:网站数据过滤不严格,过分信赖用户输入的数据, 没有过滤用户输入的恶意数据,无条件的把用户输入的数据当作SQL语句执行,因此导致sql注入漏洞产生。有无闭合字符 :数字型、字符型数据传输方式:post类型、get类型注入方式:联合查询注入、报错型注入、布尔型盲注、时间型盲注、宽字节注入宽字节注入:有些waf会在我们的提交数据前会被加入\,\的编码为%5c,我们在后面加上%df后变为了%df%5c,变成一个繁体汉字運,变成了一个有多个字节的字符。因为用了gbk编码。
2025-05-28 16:41:00
1021
原创 kali渗透Metasploitable2靶机--ssh22、telnet23端口漏洞利用
Nmapmsfconsole介绍及简单使用Nmap(网络映射器)是一个免费开放的网络扫描和嗅探工具。该工具的基本功能:1.探测主机是否在线2.扫描主机端口,嗅探所提供的网络服务3.推断主机所使用的操作系统常用命令描述nmap -sL列表扫描,简单列出要扫描的目标nmap -sV探测开放端口服务指纹(即对用服务的版本信息)nmap -p扫描指定的端口nmap -O收集目标使用的操作系统信息nmap - A启用OS检测,版本检测nmap -v。
2025-05-25 19:37:34
1136
原创 windows本地phpstudy2018配置问题
MySQL端口问题:MySQL默认端口为3306,若计算机安装了MySQL数据库,会引起3306端口冲突,通过关闭MySQL数据库释放端口。Apache端口冲突:Apache默认端口为80,启动Apache服务时可能因为。:在phphstudy2018中修改端口为801,点击应用,再点击重启就OK了。还在学习中,环境、端口配置时考虑欠佳,思考得不够全面,还请请多多包含!80端口冲突,导致Apache起启动失败(具体原因具体分析)。文件将监听端口设置为8080。想偷懒就没有更改相关配置啦。
2025-05-25 19:31:31
361
原创 Linux(centOS)-基础命令(一)
7.cp +文件名+路径(文件) 复制(覆盖 "\cp"强制覆盖不再提示 反斜杠是原生命令)rm -rf 软连接名/删除,把软连接对应的真实目录下内容删除 (实际路径下的原文件)(10)x 剪切光标所在位置,左-》右,p可以粘贴(单个字符):%s/关键字/关键字2 替换文档中每一行匹配到的第一个。:%s/关键字/关键字2/g 替换文档中匹配到的所有。:s/关键字/关键字2/g 替换当前行匹配到的所有。:s/关键字/关键字2 替换当前行匹配到的第一个。cd - 返回到上次的目录下(两个目录之间)
2024-06-25 13:24:44
577
原创 微信小程序学习--基础篇(二)
(1)事件是渲染层(页面)到逻辑层(.js文件)的通讯方式。(1)通过api,开发者可以方便的调用微信提供的能力,如:获取用户信息,本地存储,支付功能。把data中的数据绑定到页面中渲染,使用Mustache语法 {{}},将变量包起来。(1)list [] 数组中至少有2项,最多5项,在app.json文件中配置。(5)bindtap的语法,定义按钮的事件处置函数,事件event可以简写为e。可以根据指定的数组,循环渲染重复的结构组件,默认情况下,当前循环项的。1)绑定内容,绑定属性,三元运算。
2024-01-30 21:21:19
1134
原创 Django学习--基础篇(二)数据库操作
3)COLLATE utf8_general_ci :代表的是数据库校对规则,utf8_bin将字符串中的每一个字符用二进制数据存储,区分大小写。utf8_genera_ci不区分大小写,ci为case insensitive的缩写,即大小写不敏感。utf8_general_cs区分大小写,cs为case sensitive的缩写,即大小写敏感。1)CREATE DATABASE gx_day15 :代表的是创建数据库gx_day15。2)在项目的根目录下,保证有manage.py文件。
2024-01-25 14:46:52
1780
原创 Django学习--基础篇(一)
项目- app,用户管理【表结构,函数,HTML模板】- **注意:**一般情况下,一个项目创建一个app即可。在Pycharm的终端输入命令python manage.py startapp [app名称]
2024-01-16 17:45:06
1009
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人