欢迎来到sql注入章节,此次我们使用的工具为sqlmap。 我们已经察觉到了经典参数id的存在,厚着脸皮的说一句:sql注入漏洞是存在的。 那么我们应该如何去证明呢? 好习惯,先抓包,get方法提交的,掏出万能的sqlmap。。 划重点,敲黑板,懵逼时刻:302? 在这里我们无视它(才不是没看懂的说 ...
分类:
数据库 时间:
2018-04-04 15:12:51
阅读次数:
409
a、教材《网络攻防技术》第四章的学习 网络嗅探 网络嗅探(sniff)是一种黑客常用的窃听技术,利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中所包含的用户账户密码或私密通信等。实现网络嗅探的工具称为网络嗅探器(Sniffer),嗅探器捕获的数据报文是经过封包处理之后的二进制数据 ...
分类:
其他好文 时间:
2018-04-01 23:03:23
阅读次数:
365
渗透测试之攻击篇 ====================================== 视频学习 WEB扫描工具Golismero Golismero是一款开源的Web扫描器,它不但自带不少的安全测试工具,而且还可以导入分析市面流行的扫描工具的结果,如Openvas,SQLMap,DNS r ...
分类:
其他好文 时间:
2018-03-31 17:30:57
阅读次数:
202
1、ibatis何时使用CDATA?在xml元素中,"<"和"&"是非法的,"<"会产生错误,因为解析器会把该字符解释为新元素的开始."&"也会产生错误,因为解析器会把该字符解释为字符实体的开始。 所以这时候会用"<![CDATA[ ]]>" 括起来。 2、updateByPrimaryKey与up ...
分类:
其他好文 时间:
2018-03-28 16:52:08
阅读次数:
156
1.在pom文件中加入自动生成的插件 2.创建自动生成的配置文件 3.增加启动方式 我用的IDEA,所以以IDEA为例 4.运行 ...
分类:
编程语言 时间:
2018-03-23 11:45:08
阅读次数:
245
一、ibator是一个ibatis的代码生成工具,它能根据数据表自动生成javabean、sqlmap。 ibator的官方地址是 http://ibatis.apache.org/ibator.html。 二、在eclipse中安装ibator插件步骤: 三、如何使用ibator: 配置文件aba ...
分类:
其他好文 时间:
2018-03-15 15:13:12
阅读次数:
1062
ibatis <sqlmap></sqlmap> 属性:namespace='链接的dao层地址 <sqlMap namespace="ZrsDao"> 这里有配置所以可直接只配置dao层 <typeAlias/>单标签,传入和得到的参数的类型 <typeAlias alias="zrsBean" ...
分类:
其他好文 时间:
2018-03-07 16:25:02
阅读次数:
188
1.查看数据库: sqlmap.py -u 存在注入的URL地址 --dbs sqlmap.py -u "" --dbs 2.接下来查看表名: sqlmap.py -u 存在注入的URL地址 -D 数据库名 --tables sqlmap.py -u "" -D "" --tables 3.查看字段 ...
分类:
数据库 时间:
2018-02-19 16:39:07
阅读次数:
279
本文转自:https://blog.werner.wiki/sqlmap-study-notes-0/ 感谢作者的整理,如有侵权,立删 零、前言 这篇文章是我学习Sqlmap的用法时做的笔记,记录了Sqlmap的常见、基础用法。 学习的主要方法是阅读官方手册(sqlmap/doc/README.pd ...
分类:
数据库 时间:
2018-02-13 12:34:36
阅读次数:
697
十五、操作系统控制 1.执行任意操作系统命令 参数:--os-cmd和--os-shell 若数据库管理系统是MySQL、PostgreSQL或微软的SQL Server且当前用户有相关权限Sqlmap就能利用SQL注入执行任意的操作系统命令。 当数据库管理系统是MySQL或PostgreSQL时, ...
分类:
数据库 时间:
2018-02-13 12:29:16
阅读次数:
386
