随笔分类 - 手工注入篇
摘要:1|0前言 首先要对sql server进行初步的了解。常用的全部变量@@version:返回当前的Sql server安装的版本、处理器体系结构、生成日期和操作系统。@@servername:放回运行Sql server的本地服务器名称top在sql server,没有MySQL中的limit控制
阅读全文
posted @ 2020-06-02 15:38
昨夜星辰昨夜风风
摘要:当我们在进行手工注入时,有时候会发现咱们构造的危险字符被过滤了,接下来,我就教大家如何解决这个问题。下面是我的实战过程。这里使用的是墨者学院的在线靶场。咱们直接开始。 第一步,判断注入点。 通过测试发现,这里过滤了空格和等于号。所以咱们用/**/代替空格,用like代替=,最后将构造的语句进行url
阅读全文
posted @ 2020-06-02 15:35
昨夜星辰昨夜风风
摘要:今天进行了MySQL手工注入实战,分享一下自己的实战过程和总结,这里环境使用的是墨者学院的在线靶场。话不多说,咱们直接开始。 第一步,判断注入点 通过 ' 和构造 and 1=1 和 and 1=2 查看页面是否报错。这里通过and 1=1 发现页面正常。如下图。 接下来,咱们再构造 and 1=2
阅读全文
posted @ 2020-06-02 15:29
昨夜星辰昨夜风风
摘要:今天进行了access手工注入,下面是我的实战过程和总结。 实战环境使用的是墨者学院的在线靶场。下面咱们直接进入主题。 第一步,判断注入点 通过‘ 或者 and 1=1 和 and 1=2 是否报错,如下图。 接下来咱们输入 and 1=2 发现报错了,说明存在注入点。如下图。 第二步,猜数据库表名
阅读全文
posted @ 2020-06-02 15:00
昨夜星辰昨夜风风
浙公网安备 33010602011771号