经过这一周的学习,我对linux的了解又进一步,对于内存,指令概念(shell),权限级别,都有了全新的认知,鸟哥的书讲的有点太深了,许多的指令全部的参数全都讲了,我没办法第一遍就记住这成百上千个参数,所以我会忽略一部分,主要先来理解各工具的作用,我计划在实操的时候再来学习这些,有趣的工具,现在对FHS的理解已经是有点底了linux的文件架构,shell也有了更深的了解,真是一次酣畅淋漓的学习啊,哈哈哈哈哈
最近课上安排都是数据库,和我学习的linux有些背道而驰,我愈发觉得力不从心,两套指令,两套架构,一个操作系统,一个软件,我实在是无法发力,所以我决定暂时搁置对于数据库的深入,对于我来说,数据库的学习,已经进行的差不多了,学习了增删查改,最重要的查,实在是太多了,这样真的很对不起我的老师,他很努力了,跑题了,回来继续聊数据库吧,关于sql注入,毕竟我是学渗透的,这个sql注入我也是看了一下,我自认为我的理解能力还算可以,关于sql语言,重要的查询阶段,会存在一个用户通过URL访问数据库的阶段,而在这个时候,数据库必须直接,或间接筛选关键字,再进行查询,而这时候可以使用#注释键,‘单引号提前锁定字符串,这一类字符,进行报错测试,或者加个or[1=1]以达成跳过登录的小把戏,乃至于直接是用联合查询来搜索root的账户密码!因为mysql数据库的内置数据库好像和自建数据库处于平行,可以跨库查询,但我感觉这些无非就是你拆我补,快节奏的网络时代,挖洞时代!!盲注,报错注,联合注,猜名字,猜指令格式
现在,我十分理解为何有些公司会去用付费的数据库,大概是因为Mysql的指令早就被摸透了,所以会用一些逻辑上稍有不同的数据库,以区别市场,重要的还是定制指令集,删掉注释,做更严格的筛选,这是我认为的更好的方法,现在的我还是才疏浅薄,还需要不断地学习才能做到我想做的事。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
