2019 年 10月 30 日随笔档案 - balalal

2019年10月30日

摘要： Medium: Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,\,’,”,\x1a进行转义，同时前端使用了下拉选择菜单，可以通过抓包改参数，提交恶意构造的查询参数。 1.判断注入是字符型还是数字型抓包更改参数id为1’ or 1=1 阅读全文

posted @ 2019-10-30 20:25 balalal 阅读(364) 评论(0) 推荐(0) 编辑

sqlmap简单使用

摘要： get型判断注入点 python sqlmap.py -u http://127.0.0.1/jdy/typeid.php?typeid=1 1、获取当前数据库 python sqlmap.py -u "http://127.0.0.1/jdy/typeid.php?typeid=1" --cu 阅读全文

posted @ 2019-10-30 20:20 balalal 阅读(184) 评论(0) 推荐(0) 编辑

伪静态页面制作

摘要： 1、开启站点重写机制，修改配置文件，将该行注释去掉，并且需要apache支持解析.htaccess文件，修改配置文件，找到“AllowOverride None”，改为“AllowOverride All”，重启apache 2、新建.htaccess文件，写入重写机制 3、访问http:/ 阅读全文

posted @ 2019-10-30 20:16 balalal 阅读(192) 评论(0) 推荐(0) 编辑

balalal

公告