1.为什么使用? 主要还是为了代码中获取到值,然后带入SQL语句中拼接查询 2.怎么使用? 1)bean继承了BaseEntity类,该类中有 2)XML中如何写? 3)service中: ...
分类:
数据库 时间:
2016-04-06 00:25:32
阅读次数:
260
sqlmap -u "http://url/news?id=1" --level=3 --smart --dbms "Mysql" --current-user #获取当前用户名称 - 专注网络安全- p, Z( Q% {/ o, J% | sqlmap -u "http://www.xxoo.co ...
分类:
数据库 时间:
2016-04-04 19:42:09
阅读次数:
276
sqlmap是一款开源的注入工具,支持几乎所有的数据库,支持get/post/cookie注入,支持错误回显注入/盲注,还有其他多种注入方法。 支持代理,指纹识别技术判断数据库 。而sqm(sqlmapGUI)是一个图形界面,在上面可以快速地组装参数,构造sqlmap命令语句,来调用sqlmap来执 ...
分类:
数据库 时间:
2016-04-03 15:46:59
阅读次数:
322
应某少年要求授权测试一个存在报错注入点的站点,可读取数据库名,但是sqlmap执行–os-shell选项就会莫名当掉; 分步骤测试了几次,发现xp_cmdshell是开启状态,但用sqlmap注入却无法利用XP_cmdshell执行命令? 正好最近在读【SQL注入攻击与防御】,感觉这真是一个值得实践 ...
分类:
数据库 时间:
2016-04-02 07:02:27
阅读次数:
1372
sqlmap用户手册 瞌睡龙 · 2013/06/13 18:45 http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: sqlmap支持五种不同的注入模式: sqlmap支持的数据库有: 可以提供一个 ...
分类:
数据库 时间:
2016-03-31 18:34:49
阅读次数:
950
转载地儿:http://blog.csdn.net/zgyulongfei/article/details/41017493 对于网络安全人员来说,掌握渗透工具的使用方法是一项必备的技能。然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门。 sq ...
分类:
数据库 时间:
2016-03-30 14:54:18
阅读次数:
276
-u #注入点 -f #指纹判别数据库类型 -b #获取数据库版本信息 -p #指定可测试的参数(?page=1&id=2 -p “page,id”) -D “” #指定数据库名 -T “” #指定表名 -C “” #指定字段 -s “” #保存注入过程到一个文件,还可中断,下次恢复在注入(保存:-
分类:
数据库 时间:
2016-03-22 19:10:02
阅读次数:
1275
* 参考论坛 http://silic.org/post/SQL_Injection_by_Silic 1. SQL 注入之sqlmap http://drops.wooyun.org/tips/2113 2. SQL注入自学指南 http://silic.org/post/SQL_Injectio
分类:
数据库 时间:
2016-02-23 18:33:19
阅读次数:
151
log4j.logger.com.ibatis=DEBUG
log4j.logger.com.ibatis.common.jdbc.SimpleDataSource=DEBUG
log4j.logger.com.ibatis.common.jdbc.ScriptRunner=DEBUG
log4j.logger.com.ibatis.sqlmap.engine.impl.SqlMapClientDelegate=DEBUG
log4j.logger.java.sql.Connection=DEBUG
log4..
分类:
数据库 时间:
2016-02-06 14:28:23
阅读次数:
232
(1)选项:-r REQUESTFILE Load HTTP request from a file (2)选项:--current-db Retrieve DBMS current database (3)选项:--current-user Retrieve DBMS current user (
分类:
数据库 时间:
2016-02-04 18:54:30
阅读次数:
370
