hy_696的博客

使用ettercap进行dns欺骗操作系统kali linux    使用软件ettercap1、 在kali linux中运行ifconfig命令，查看本机的IP地址2、进入etc/Ettercap目录，修改etter.dns文件，在文件中图示位置添加图中的两行文字（IP地址为本机刚刚查询到的IP地址，并注意每行前边有一个*号）3、 在终端中输入命令 /etc/init.d/apache2 st...

找到目标站点http://xxx.xxxx.xx/xxx.xxx?ID=XX,测试是否存在注入点猜解表名，在链接末尾加语句 and exists(select *from admin) 页面若显示正常，说明存在表名admin。猜解列名 在链接末尾加语句 and exists(select admin from admin) 若页面显示正常，则admin表中存在admin列继续猜解password等...

进入链接http://xxx.xxxx.?id=xx,在网址后边加order by语句，例如order by 11 ，页面显示正常，order by 12 页面报错，则说明此站字段长度为11.假如字段长度为11，则在链接后添加语句 union select 1,2,3,4,5,6,7,8,9,10,11 from admin ，若页面报错后显示数字2和3，则2,3为显位（admin为表名）。将原语...

dvwa安全级别为low，进入sql injection页面，提示输入user id，输入正确的id，将显示id first name，surname信息。尝试输入"'",返回错误。存在注入点。尝试遍历数据库表，提示输入的值为ID，初步判断为数字类型注入。尝试输入：1 or 1=1，尝试遍历数据库表。结果失败。1 or 1=1遍历数据库表失败，猜测程序将此处看成了字符型，可尝试输入 1' or '...