今天在学习的过程中发现了一个网站的伪静态含有注入,便对此进行了渗透利用工具:sqlmap我在”/id/12.html“上的12后面加上*,然后放在sqlmap上爆先查看当前的数据库,命令为sqlmap.py-uurl--current-db,查看的数据库为下图1:查看这个数据库里面的表,指定数据库命令为pythons..
分类:
其他好文 时间:
2017-04-22 14:40:01
阅读次数:
141
今天发现一个搜索型注入,主要是利用网站的搜索引擎来注入的例如下图所示:在这个搜索地方,我们可以输入2个字符验证他们是否能注入;输入:‘出错输入:%不出错满足以上2点,即可注入,我们要用到的工具为burpsuit,sqlmap1:首先我们在搜索框里随便输入一个数字,我这里输入1..
分类:
数据库 时间:
2017-04-22 14:34:02
阅读次数:
372
这次算是一次用sqlmap的例子 目的:通过工具扫描到了后台的数据库的地址(如下图),想进入后台数据库(首先可以尝试一下root:root的情况,这个网站是用户名和密码都是root) 扫描还发现了有sql目录,考虑注入; 语句 运行结果: root的password hash 复制到这个网站http ...
分类:
数据库 时间:
2017-04-16 00:44:15
阅读次数:
249
Python:SQLMAP参数中文解释 文章来源:http://www.cnblogs.com/hongfei/p/3867872.html ps:直接copy~ #HiRoot's BlogOptions(选项):--version 显示程序的版本号并退出-h, --help 显示此帮助消息并退出 ...
分类:
数据库 时间:
2017-04-13 15:30:39
阅读次数:
209
SQLMap用户手册【超详细】 文章来源:http://www.cnblogs.com/hongfei/p/3872156.html ps:直接copy http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候,它会 ...
分类:
数据库 时间:
2017-04-13 15:18:24
阅读次数:
1426
对于sql注入小白的我,上午在红黑联盟的网站上恶补了一下sql注入的基础知识,(走马观花) 似乎明白sql注入是怎么一回事,也看了一些关于sqlmap的资料,留念吧 下面是关于sqlmap这个工具 发现两篇介绍sqlmap的文章(自己觉得不错):有一篇叫《sql注入之sqlmap入门》的文章介绍了s ...
分类:
数据库 时间:
2017-04-13 12:04:09
阅读次数:
273
1.sql注入 1)通过用户名输入 语法 :用户名'or' -- 密码任意 (通过sql语法注释掉密码来进行登录) 2)get请求地址id=3 and 1<>1 union select password from user where '1'='1 (查出密码) 3)sqlmap 待搜索 4)防范 ...
分类:
其他好文 时间:
2017-04-13 00:30:22
阅读次数:
120
(转自:http://blog.csdn.net/canot/article/details/51485955) Mybatis表现关联关系比hibernate简单,没有分那么细致one-to-many、many-to-one、one-to-one。而是只有两种association(一)、coll ...
分类:
其他好文 时间:
2017-04-10 16:35:56
阅读次数:
285
classpath*:/mybatis-config.xml classpath*:/com/**/sqlmap-*.xml classpath:mybatis/mapper/*.xml classpath:mybatis/ma... ...
分类:
移动开发 时间:
2017-03-21 10:47:27
阅读次数:
2607
在sqlmap的目录下有那么一个目录。即"TXT"目录。 该目录下是放字典的。 我在日一个站的时候没有破解出表明。然后不小心下载到了数据库。 sqlmap无法猜出表是啥。ps:access数据库 便有了此文: 算一个小知识点把。 ...
分类:
数据库 时间:
2017-03-20 22:22:05
阅读次数:
632
