jhfjdf的博客

SQLMap简要介绍支持的数据库支持的注入方式其他功能安装SQLMap的使用SQLMap的入门判断是否存在注入判断文本中的请求是否存在注入简要介绍一个自动化的注入工具。功能是扫描、发现并利用给定的URL的SQL注入漏洞，内置了很多绕过的插件。支持的数据库MySQL、Oracle、PostgreSQL、Microsoft SQL Sever、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。支持的注入方式盲注（布尔盲注和时间盲注）、

反序列化漏洞序列化百度百科那么其中的对象是什么？反序列化序列化百度百科序列化就是将对象的状态信息转化为可以存储或者传输的形式的过程。在序列化期间，对象可以将当前状态写入到临时或者持久性存储区。之后可以通过存储区来读取或者反序列化对象的状态，重新创建对象。那么其中的对象是什么？这里的对象肯定不是男女朋友那种“对象”。我们可以从自身出发，我们知道这个世界上存在着各种不同种类的动物，猫科类、鱼类、猿类、犬类等，我们当然就是人类。每种动物又都拥有着许许多多的“属性”和“方法”。“属性”是什么？拿你自

SSRF学习笔记SSRF形式目标为什么能访问内部？漏洞原理攻击方式banner信息漏洞利用篡改请求地址漏洞修复建议SSRF意思是服务器请求伪造漏洞形式攻击者构造请求，服务端发起请求的漏洞目标一般是外网无法访问的内部系统为什么能访问内部？请求是由服务端发起的，所以可以请求到与自身相连而与外部隔离的内部系统漏洞原理大多数是因为服务端提供了从其他服务器应用获取数据的功能，并且没有对目标地址进行过滤和限制。攻击方式对外网、服务器所在的内网、本地进行端口扫描，获取一些服务的banner信息

学习笔记--SQLday01 SQL注入什么是SQL注入？SQL注入的流程1、判断是否有注入点显错注入不显错的判断方法2、判断注入点的类型3、判断字段数目4、判断字段回显的位置5、拼接SQL语句来查询相关信息或提权补充判断数据库类型防注入的解决办法（绕过）：1、将拼接的语句转换为URL编码形式2、将拼接的路径转换为hex十六进制编码3、使用不同的形式的真假语句SQL注入的类型day01 SQL注入什么是SQL注入？SQL是操作数据库的结构化查询语言，SQL注入就是攻击者通过SQL语言的拼接（用户的输入

文件上传文件上传什么是文件上传漏洞：文件上传漏洞的危害：文件上传漏洞攻击的流程：文件上传什么是文件上传漏洞：文件上传漏洞指的是攻击者上传了一个可执行的脚本文件，通过此脚本文件获得了执行服务器端命令的能力，即获得了服务端的某些权限。常见的场景是：某个网站或者app上，服务端允许用户上传图片或者普通的文本文件，然后攻击者能绕过这个限制，上传可执行的脚本文件来获取权限。文件上传漏洞的危害：1、网站被控制，对文件增删改查，执行命令，链接数据库2、如果服务器长久未更新，可以利用exp提权，导致服务器沦