10 2019 档案

摘要：时间盲注 原理：构造语句，通过页面响应的时长，来判断信息。 方法：构造逻辑语句，通过条件语句进行判断，为真则立即执行，否则延时执行 核心语法： if(left(user(),1)='a',0,sleep(3)); Dnslog盲注 dnslog是用户访问网站过程中被dns服务记录的信息 原理： 通过 阅读全文

摘要：报错注入 原理：构造payload让信息通过错误提示回显出来 应用场景：查询不会先内容，但是会打印错误信息 upload、insert等语句，会打印错误信息 方法：凡是可以让错误信息显示的函数（语句），都能实现报错注入 floor() select count(*) from infomation_ 阅读全文

摘要：sql注入原理 4层web架构 表示层 逻辑层 应用层 存储层 灵活的sql查询语句+用户输入的数据带入了sql语句=用户直接操作数据库->sql注入漏洞 手工注入 mysql数据库结构 SQL层：通过一些特定的语法完成了数据库任务的执行，并且将执行的结果进行处理，返回人们可以识别的信息。 连接层： 阅读全文

摘要：web网站 部署在容器上，这个容器部署在操作系统上，操作系统中安装了数据库软件。通过对数据库的操作实现一定功能。 sqli-labs 开源的sql注入练习环境（https://github.com/Audi-1/sqli-labs） 报错注入 盲注 update注入 insert注入 header注 阅读全文