08 2021 档案
摘要:前言 众所周知,python是所有编程语言中最不容易掉头发的语言,而其庞大的功能包,则运用在很多领域,在学校里学的感觉马马虎虎,所以又按照自己的思路学了一遍,这里的视频参照来源B站黑马程序员的python基础课程,所有的笔记也从它免费的笔记中有所参照 01 介绍python 1.Python 源程序
阅读全文
摘要:HTML:超文本编辑语言,静态 基础标签 <title>标题</title> 文档的标题,定义了浏览器工具栏的标题,当网页添加到收藏夹时,显示在收藏夹中的标题和搜索引擎结果页面的标题 <h1>一级标题标签</h1> <h1>一级标题</h1>是最大的标题,<h6>六级标题</h6>是最小的标题,浏览
阅读全文
摘要:前言 sqlmap功能很强大,是一款开源免费的漏洞检查、利用工具,它可以检测页面中get,post参数,cookie,http头等,数据榨取,文件系统的访问,实现操作命令的执行,对xss漏洞进行检测,基本上可以说是安全从业人员必备的一款神器之软件,也是迈入安全圈的必要条件,接下来介绍一些常用操作 正
阅读全文
摘要:写入shell 为什么要写shell 我们一般通过SQL注入写的都是小马,什么是小马,一句话说小马就是一种短小但是功能完善的木马客户端,通过它我们可以构造系统命令执行,从而达到控制操作系统的目的。它的隐蔽性好,功能强大,可能一两个函数就可以达到控制对方网站或者主机的目的。一般渗透测试中遵从的是先传小
阅读全文
摘要:宽字节注入原理及绕过方式 前言 众所周知,SQL注入作为危害最大的攻击方式,开发人员在开发时一定会想办法去防范,在这里我们介绍一种新的方式——宽字节注入法去绕过设置的障碍 原理 一般来说,如果开发人员在开发的时候,对传入的参数进行了特殊的函数处理,比如使用了trim()函数,htmlspecialc
阅读全文
摘要:布尔盲注和时间盲注 前言 在某些情况下后台会使用错误消息屏蔽来屏蔽报错,同时无法根据报错信息来进行判断,在这时我们需要用到盲注。而盲注分为两种,一种为布尔盲注,一种为时间盲注 使用盲注需要用到的三个函数 1.if函数 定义 if函数根据条件的结果为true或false,返回第一个值,或第二个值 语法
阅读全文
摘要:MySQL环境快速配置及基础操作 前言 因为开始学习信息安全,所以免不了要学一些基础知识,其中必然要涉及MySQL的基础操作,一是便于搭建靶场,二也是为了以后SQL注入做准备。虽然之前也学习过PostgreSQL,也做了还算全面的笔记,虽说数据库都是通的,但时间久远,当时也学的浅尝辄止,到现在也差不
阅读全文
摘要:一、BurpSuite设置 打开Firefox,在插件Foxyproxy里面添加代理127.0.0.1,端口为8080,或者自己在Burp里面设置端口,但是要求代理和Burp设置一致,在Burp的Proxy的Options里面添加端口 每次抓包需要先开代理(Foxyproxy),再打开Proxy-I
阅读全文
摘要:适用情况 Insert/update/delete型数据库的处理,都是通过报错函数进行数据注入回显的,或者通过DNSlog注入来获取数据。 如:注册,修改,删除等都属于数据库的上述三种操作,其中delete型需要在删除选项处查看网站URL,其余两种只需要在输入数据处进行注入即可 常用报错函数 **u
阅读全文
摘要:前言 有网站服务的地方就需要有数据库,SQL注入是指Web应用程序对用户输入数据的合法性没有进行判断,前端传入后端的参数是可控的或没有进行过滤的。 当带入数据库进行查询,攻击者通过构造不同的SQL语句来实现对数据库的任意操作 SQL注入的两个条件 参数用户可控,可以修改上传的数据 拼接后的SQL语句
阅读全文
