2019年5月14日
CSRF
摘要: CSRF漏洞 跨站请求伪造漏洞 已经经过站点身份认证 已经经过站点身份认证 实践 这是更改密码的包我们要以下这一段代码 netstat -pantu | grep :80 看80端口是否被占用 编辑一个网页 构造一个社工页面 让受害者点击页面 以上这是刚才修改密码的包的头 下面是伪造页面 这是POS 阅读全文
posted @ 2019-05-14 16:14 yourse1f 阅读(325) 评论(0) 推荐(0) 编辑
sqlmap自动注入 --DETECTION
摘要: --level /usr/shar/sqlmap/xml/payloads 多个脚本 sqlmap里面的payload都在这里面 --risk 1-4(默认 1/ 无害) Risk升高可造成数据被串改等风险 (updata) 默认情况下 sqlmap6种情况都会使用 这节有点水!!!!! 阅读全文
posted @ 2019-05-14 16:08 yourse1f 阅读(453) 评论(0) 推荐(0) 编辑
SQLMAP自注入--INJECTION TECGBUQUES FINGERPRINT
摘要: -p参数 指定扫描的参数 ,使--level失效 -p“user-agent,refer”这些参数也可以通过-p来指定 这里我们指定是对 参数 “username,user-agent”的扫描 虽然这里level没有指向到3 但是由于我们指定了 user-agent所以他还是回去扫描 --skip= 阅读全文
posted @ 2019-05-14 09:14 yourse1f 阅读(424) 评论(0) 推荐(0) 编辑
2019年5月13日
sqlmap自动注入 --REQUEST
摘要: --delay=“参数” 每次http(s)请求之间的延迟时间,浮点数,单位为秒,默认无延迟 --timeout=“参数” 请求超时,浮点数,默认为30秒 --retries=“参数” http(s)连接超时重试次数 ,默认为3次 --randomize=“参数” 长度,类型与原始值保持一致的前提下 阅读全文
posted @ 2019-05-13 20:32 yourse1f 阅读(553) 评论(0) 推荐(0) 编辑
python学习之路(9)
摘要: 函数的参数 定义函数的时候,我们把参数的名字和位置确定下来,函数的接口定义就完成了。对于函数的调用者来说,只需要知道如何传递正确的参数,以及函数将返回什么样的值就够了,函数内部的复杂逻辑被封装起来,调用者无需了解。 Python的函数定义非常简单,但灵活度却非常大。除了正常定义的必选参数外,还可以使 阅读全文
posted @ 2019-05-13 17:12 yourse1f 阅读(293) 评论(0) 推荐(0) 编辑
python学习之路(8)
摘要: 定义函数 在Python中,定义一个函数要使用def语句,依次写出函数名、括号、括号中的参数和冒号:,然后,在缩进块中编写函数体,函数的返回值用return语句返回。 我们以自定义一个求绝对值的my_abs函数为例: 请自行测试并调用my_abs看看返回结果是否正确。 请注意,函数体内部的语句在执行 阅读全文
posted @ 2019-05-13 15:55 yourse1f 阅读(677) 评论(0) 推荐(0) 编辑
python学习之路(7)
摘要: 调用函数 Python内置了很多有用的函数,我们可以直接调用。 要调用一个函数,需要知道函数的名称和参数,比如求绝对值的函数abs,只有一个参数。可以直接从Python的官方网站查看文档: http://docs.python.org/2/library/functions.html#abs 也可以 阅读全文
posted @ 2019-05-13 14:41 yourse1f 阅读(400) 评论(0) 推荐(0) 编辑
Sqlmap自动注入--REQEST
摘要: 数据段: --data sqlmap.py -u ”192.168.1.101/mullitea/login.php" --data="username&passwd=2" --dbs data后面数据在网络的参数里面粘贴源代码 变量分割符: --param-del cookie头 如果你想用sql 阅读全文
posted @ 2019-05-13 12:49 yourse1f 阅读(1098) 评论(0) 推荐(0) 编辑
2019年5月12日
python学习之路(6)
摘要: 使用dict和set Python内置了字典:dict的支持,dict全称dictionary,在其他语言中也称为map,使用键-值(key-value)存储,具有极快的查找速度。 举个例子,假设要根据同学的名字查找对应的成绩,如果用list实现,需要两个list: 给定一个名字,要查找对应的成绩, 阅读全文
posted @ 2019-05-12 18:38 yourse1f 阅读(356) 评论(0) 推荐(0) 编辑
sqlmap自动注入1(Target完整的超级详细 如有错误望指出)
摘要: SQLmap的自动注入学习之路(1) 是通过五种sql注入漏洞的检测技术 这是基于时间的盲注检测 看他返回的时间 可以在DVWA试试 sqlmap支持非常全面的()数据库管理系统DBMS -d 参数直接连接 作为客服端连上服务器端 mysql 3306端口 orcle的1521 sqlsever的1 阅读全文
posted @ 2019-05-12 14:19 yourse1f 阅读(1277) 评论(0) 推荐(0) 编辑