sql注入
关注
分享
扫一扫
文章平均质量分 87
Mikasa_
nxw.so/52hP1
展开
-
sql注入的学习总结(仅get)
关于sql注入(仅GET)的一些方法总结这是萌新第一次写博客,难免有些差错,望各位大佬们指点和矫正233终于辛苦肝完了sqli-labs(27~28左右还是有点不太清楚,为什么我的%a0就不可以啊啊啊啊啊)好了,进入正题,接下来分享一下我的个人经验(仅仅涉及GET形式且不涉及过滤)假如我们现在正在做sqli-labs的题(GET形式),那么该如...原创 2018-12-21 21:34:31 · 584 阅读 · 1 评论 -
BUGKU中的sql注入2(很有用的一个技巧)
** 今天做了一道关于sql注入的题(被虐了555),看了一些题解终于知道了方法,哎!心累** 不过收获还是蛮多的! 打开链接发现是一道POST注入题(挺头疼的),并且一开始以为给的提示是过滤掉的,后来fuzz(模糊测试)发现并不是;随便输入一个admin账号发现竟然只是密码错误(一定是先判断账号正误,在判断密码正误,既可以在账号处尝试一下布尔注入的方式)猜一下sql语...原创 2019-02-17 08:51:23 · 7222 阅读 · 23 评论 -
BUGKu中的Insert注入
这道题因为是先输出的IP的信息,然后再将IP存入了数据库中,并且关闭了所有的报错提示。因此用时间注入的方式比较好首先我们先认识一个新的Python中的time模块,time.time()返回当前的时间,只要我们在发送数据包之前以及收到返回包之后各设置一个,就可以通过判断两时间之差确认我们判断的字符!!!!其实没有什么难的,有相对好点的其他语言基础,相信能很快写出来当然这道题还不是简单的时...原创 2019-03-28 19:29:54 · 676 阅读 · 0 评论 -
[61dctf]inject
本题考察了Mysql中反引号与不同引号的区别。。提示有源码。。扫描一下:看见了index.php~,访问一下,就发现:desc table_name 是用来查询表结构的,例如:如果要成功,就必须保证此表存在。。我们也看到了后面的源码。。。需要我们构造Payload,可是Payload也会被带入表中查询。。肯定会出错的。。。这里面就用到了反引号的作用。。简单理解我们...原创 2019-04-19 12:02:30 · 738 阅读 · 0 评论