10.XSS攻防与绕过
摘要: 
我们都是阴沟里的虫子,但总还是得有人仰望星空! 阅读全文
我们都是阴沟里的虫子,但总还是得有人仰望星空! 阅读全文
posted @ 2022-08-14 23:06 eveplw 阅读(195) 评论(0) 推荐(0) 编辑
2022年8月14日 #
2022年8月13日 #
美妙的人生关键在于你能迷上什么东西! 2022年8月8日 #
我爱你,与你有何相干? 2022年8月4日 #
8.Sqli-lab
摘要: 
一知道在哪,世界就变小了,不知道在哪,世界才广阔! 阅读全文
一知道在哪,世界就变小了,不知道在哪,世界才广阔! 阅读全文
posted @ 2022-08-04 22:42 eveplw 阅读(45) 评论(0) 推荐(0) 编辑
2022年8月2日 #
7.代码与命令注入
摘要:
一.代码注入 1.eval函数 在php中,使用eval(string)函数可以执行任意有效的PHP代码,如何eval("phpinfo();"),evel("echo date()"), 也可以是更加复杂的代码,比如@eval($_POST["code"];)代码,用户提交POST请求参数如下: 阅读全文
posted @ 2022-08-02 22:08 eveplw 阅读(200) 评论(0) 推荐(0) 编辑
2022年8月1日 #
6.SQL注入-其他注入
摘要:
一.更新注入 所有更新类的操作,只返回布尔型的结果,并不会返回数据,所以无法像select一样进行多元化的处理。 所以更新类的操作操作核心就是构建报错注入。 insert into user(username,password,role) values ('wowo' or updatexml(1, 阅读全文
posted @ 2022-08-01 23:13 eveplw 阅读(61) 评论(0) 推荐(0) 编辑
5.SQL Map工具的使用
摘要:
一.kali系统 SQL Map工具 1.SQL Map可以完成注入点的发现,数据库类型的确认,WebShell权限和路径的确认,拖库等一系列功能 2.测试的功能一共分为五级,level1-level5 level1属于基础级,payload相对较少 level5属于最顶级,payload相对较多 阅读全文
posted @ 2022-08-01 00:03 eveplw 阅读(210) 评论(0) 推荐(0) 编辑
2022年7月31日 #
4.SQL注入-错误注入与盲注
摘要:
一.Union查询注入不使用的地方 1.注入语句无法截断,且不清楚完整的SQL查询语句; 2.页面不能返回查询信息的时候; 3.Web页面中有两个SQL查询语句,查询语句的列数不同; 二.关于MySQL处理XML 1.先准备以下XML内容 <class id="WNCDC085"> <student 阅读全文
posted @ 2022-07-31 21:21 eveplw 阅读(46) 评论(0) 推荐(0) 编辑
3.SQL注入-查询漏洞二
摘要:
一.不要开启phpmyadmin 1.配置文件 /opt/lampp/etc/extra/httpd-xampp.conf 2.修改phpmyadmin目录名称为不容易猜测的 二.SQL注入-文件读写以及木马植入 1.读写权限确认 secure_file_priv = 空的时候,任意读写 secur 阅读全文
posted @ 2022-07-31 16:54 eveplw 阅读(55) 评论(0) 推荐(0) 编辑
2022年7月30日 #