2401_89826047的博客

原创 sqlmap自动化--实例sqli-labs1

好的，我来为您介绍sqlmap这个工具。sqlmapsqlmap是一款开源的、自动化的。它由 Python 语言编写，主要用于渗透测试人员和安全研究人员发现、利用和接管存在 SQL 注入漏洞的数据库服务器。其核心目标是简化检测和利用 SQL 注入漏洞的过程。好的，下面是对sqlmap。

原创 Upload-Labs-Linux1

摘要：本文分析了pass-01文件上传漏洞的绕过方法。前端通过白名单（.jpg/.png/.gif）校验文件扩展名，但存在两个绕过方式：1）修改本地文件扩展名为.php后上传；2）使用BurpSuite拦截修改请求包中的文件后缀。成功上传PHP木马后，通过蚁剑连接获取服务器权限。该漏洞源于仅依赖前端校验，未在服务端进行二次验证，导致任意文件上传风险。

原创 一句话木马的介绍

它的核心功能是允许攻击者远程在您的服务器上执行任意 PHP 代码，从而完全控制您的网站甚至服务器。函数执行失败（例如，传入的参数不是有效的 PHP 代码），也不会产生错误日志，避免暴露木马的存在。: 这个符号放在函数调用之前，作用是抑制该函数在执行过程中可能产生的错误或警告信息。的字符串内容，他们就能在您的服务器上运行他们想运行的任何 PHP 代码。是 PHP 中的一个内置函数，它的作用是将传入的字符串参数。这段简短的 PHP 代码是一个非常典型的、危害性极高的。: 这是这段代码的核心，也是最危险的部分。

原创 BUUCTF-sqli-labs1

本文介绍了SQL注入攻击的基本方法，以less-1为例展示了字符型联合注入的全过程。首先通过1'--+终止查询，然后使用order by确定列数。接着利用union select进行数据提取，包括：1)获取数据库名称和版本信息；2)通过information_schema获取表名；3)查询指定表的字段名；4)最终提取users表中的具体数据。文中详细说明了各参数的作用，如group_concat用于合并结果，where条件限定查询范围等。该过程演示了如何逐步突破数据库安全防护获取敏感信息。

原创 hackthebox注册

平台要求所有测试行为必须严格限定在授权范围内，仅用于合法学习目的。检查注册邮箱，点击验证链接激活账户。现在已经不需要邀请码了。

原创 AI工具实战测评技术文章大纲