10 2019 档案
摘要:时间盲注 原理:构造语句,通过页面响应的时长,来判断信息。 方法:构造逻辑语句,通过条件语句进行判断,为真则立即执行,否则延时执行 核心语法: if(left(user(),1)='a',0,sleep(3)); Dnslog盲注 dnslog是用户访问网站过程中被dns服务记录的信息 原理: 通过
阅读全文
摘要:报错注入 原理:构造payload让信息通过错误提示回显出来 应用场景:查询不会先内容,但是会打印错误信息 upload、insert等语句,会打印错误信息 方法:凡是可以让错误信息显示的函数(语句),都能实现报错注入 floor() select count(*) from infomation_
阅读全文
摘要:sql注入原理 4层web架构 表示层 逻辑层 应用层 存储层 灵活的sql查询语句+用户输入的数据带入了sql语句=用户直接操作数据库->sql注入漏洞 手工注入 mysql数据库结构 SQL层:通过一些特定的语法完成了数据库任务的执行,并且将执行的结果进行处理,返回人们可以识别的信息。 连接层:
阅读全文
摘要:web网站 部署在容器上,这个容器部署在操作系统上,操作系统中安装了数据库软件。通过对数据库的操作实现一定功能。 sqli-labs 开源的sql注入练习环境(https://github.com/Audi-1/sqli-labs) 报错注入 盲注 update注入 insert注入 header注
阅读全文