2015年6月16日
摘要: "tamper/apostrophemask.py","tamper/equaltolike.py","tamper/greatest.py","tamper/space2hash.py","tamper/apostrophenullencode.py","tamper/halfversionedm... 阅读全文
posted @ 2015-06-16 20:13 milantgh 阅读(427) 评论(0) 推荐(0) 编辑
摘要: http://zwx.jnu.edu.cn/admin/login.asp zwx.jnu.edu.cn/ProductShow.asp?ID=147http://www.lib.hstc.edu.cn/admin/ad_login.asp http://www.lib.hstc.edu... 阅读全文
posted @ 2015-06-16 16:19 milantgh 阅读(1176) 评论(0) 推荐(0) 编辑
摘要: sqlmap注入时:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语... 阅读全文
posted @ 2015-06-16 15:28 milantgh 阅读(1093) 评论(0) 推荐(0) 编辑
摘要: 0x00 背景sqlmap中的tamper脚本来对目标进行更高效的攻击。由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我收集在找相关的案例作为可分析什么环境使用什么tamper脚本。 小学生毕业的我,着能偷偷说一下多... 阅读全文
posted @ 2015-06-16 14:27 milantgh 阅读(660) 评论(0) 推荐(0) 编辑
摘要: 测试时间:2014.10.21测试版本:IIS版V3.3.09476(2014-09-24)、Apache V3.1.08512(2014-05-29),均为今天能下到的最新版。用于绕过的核心字符:%0A,某些特殊场合需要和注释符配合使用。测试详细步骤:1、本机安装了存在注入的V5shop(构架为I... 阅读全文
posted @ 2015-06-16 12:02 milantgh 阅读(501) 评论(0) 推荐(0) 编辑