SQL注入学习之MYSQL报错注入概念:SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用,毕竟用盲注的话既耗时又容易被封。 MYSQL报错注入分类: BIGINT等数据类型溢出 xpath语法错误 concat+rand()+group_by()导致主键重复 一些特性 下面就针对这几种错误类型看看背后的原理是怎样的。 2019-08-14
SQL注入学习之MYSQL盲注概念:如果每个应用程序都能按照我们输入的 SQL 命令返回我们需要的数据,那应用程序就无安全性可言了!为此,程序设计者们想到一个办法,那就是无论输入何种命令,只要 SQL 语句导致数据库产生错误,那么应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,回显方式的 SQL 注入办法就无法使用了。盲注,即在 SQL 注入过程中,SQL 语句执行选择后,选择的数据不能回 2019-08-13
Docker学习笔记一、简介Docker是一个开源的应用容器引擎,是一个轻量级容器技术;基于Go语言并遵循Apache2.0协议开源。 Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,更重要的是容器性能开销极低。 Docker支持将软件编译成一个镜像;然后在镜像中各种软件做好配置,将镜 2019-03-15
记一个奇葩的上传点最近一直很忙,V老哥发来一个站,说有一个上传点,问我要不要玩玩,当时太忙,就没去看,等过了几个小时以后,他说还没有突破,然后我叫他把后台和帐号密码发给我试试。 先打开后台看看,发现后台还是挺炫酷的。 2018-08-22
七年,当我们成为别人的背影时,我们失去了多少嗯,一个文笔菜如老狗的我,我想写点什么,各位看官看看就好。 今年20出头,我相信大家入这行大多数都是从刷钻还有帐号被盗开始,我也不例外。记得读初三的时候,开始接触刷钻,那个时候都是用手机卡刷钻。读到高一的时候,也就是那个时候开始,算是刚接触这行吧。那个时候找了个师傅,好像花了50。。。。不过那时候学生党没有多少钱。当时学刷宽带钻,还有什么入侵啥的,反正当时觉得特别牛逼。还有什么入侵三字经,慢慢的发 2018-07-07
web漏洞合集描述和修复建议人生几何,对酒当歌! 内容均来自互联网,风险等级根据实际情况定义 SQL注入漏洞风险级别:高危漏洞描述:当Web应用程序未对用户输入的数据进行足够的安全处理(如危险字符过滤或者语句过滤),而直接拼接SQL语句执行时,攻击者可以精心构造参数值,使服务器执行非预期的SQL语句并返回结果,造成数据库信息泄露。利用SQL注入漏洞,攻击者可获取数据库的增、删 2018-06-29
SQL注入常见技巧汇总into绕过order by 过滤order by 和 into两个都可以用来判断列数,但是两者是有区别的order by 是你select了几个就可以在那几个的范围里面变动,超过就报错。 mysql> select username,password from users order by 1; +----------+------------+ | username | password 2018-03-14
解决DEDECMS历史难题--找后台目录利用限制 仅针对windows系统 进入正题首先看核心文件common.inc.php 大概148行左右 if($_FILES) { require_once(DEDEINC.'/uploadsafe.inc.php'); } 2018-02-26
访问我的图片就获取你ip和访问地址新建个名为.htaccess的文件,内容如下AddHandler application/x-httpd-php .jpg 新建个1.jpg,内容如下 2018-01-31