19.CSRF跨站请求伪造
摘要:
总有人间一两风,填我十万八千梦
阅读全文
总有人间一两风,填我十万八千梦
阅读全文
posted @ 2022-09-11 19:42
随笔分类 - 网络攻防
海日生残夜,江春入旧年
彼苍者天,尔独何泣!
众里寻他千百度,蓦然回首,那人却在灯火阑珊处
衣带渐宽终不悔,为伊消得人憔悴
星星之火,可以燎原
懂与不懂,不重要,重要的是路在脚下
人生代代无穷已,江月年年望相似
我们都是阴沟里的虫子,但总还是得有人仰望星空!
我爱你,与你有何相干?
一知道在哪,世界就变小了,不知道在哪,世界才广阔!
7.代码与命令注入
摘要:一.代码注入 1.eval函数 在php中,使用eval(string)函数可以执行任意有效的PHP代码,如何eval("phpinfo();"),evel("echo date()"), 也可以是更加复杂的代码,比如@eval($_POST["code"];)代码,用户提交POST请求参数如下:
阅读全文
posted @ 2022-08-02 22:08
6.SQL注入-其他注入
摘要:一.更新注入 所有更新类的操作,只返回布尔型的结果,并不会返回数据,所以无法像select一样进行多元化的处理。 所以更新类的操作操作核心就是构建报错注入。 insert into user(username,password,role) values ('wowo' or updatexml(1,
阅读全文
posted @ 2022-08-01 23:13
5.SQL Map工具的使用
摘要:一.kali系统 SQL Map工具 1.SQL Map可以完成注入点的发现,数据库类型的确认,WebShell权限和路径的确认,拖库等一系列功能 2.测试的功能一共分为五级,level1-level5 level1属于基础级,payload相对较少 level5属于最顶级,payload相对较多
阅读全文
posted @ 2022-08-01 00:03
4.SQL注入-错误注入与盲注
摘要:一.Union查询注入不使用的地方 1.注入语句无法截断,且不清楚完整的SQL查询语句; 2.页面不能返回查询信息的时候; 3.Web页面中有两个SQL查询语句,查询语句的列数不同; 二.关于MySQL处理XML 1.先准备以下XML内容 <class id="WNCDC085"> <student
阅读全文
posted @ 2022-07-31 21:21
3.SQL注入-查询漏洞二
摘要:一.不要开启phpmyadmin 1.配置文件 /opt/lampp/etc/extra/httpd-xampp.conf 2.修改phpmyadmin目录名称为不容易猜测的 二.SQL注入-文件读写以及木马植入 1.读写权限确认 secure_file_priv = 空的时候,任意读写 secur
阅读全文
posted @ 2022-07-31 16:54
