在项目开发过程中,查询占了很大的一个比重,一个框架的好坏也很多程度上取决于查询的灵活性和效率。在IBatis.Net中提供了方便的数据库查询方式。在Dao代码部分主要有两种方式:1、查询结果为一个对象:ISqlMappersqlMap=sqlMapDaoSession.SqlMap;return(A...
分类:
Web程序 时间:
2015-11-20 19:06:51
阅读次数:
200
0x00 背景sqlmap中的tamper脚本来对目标进行更高效的攻击。由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我收集在找相关的案例作为可分析什么环境使用什么tamper脚本。 小学生毕业的我,着能偷偷说一下多...
分类:
数据库 时间:
2015-11-19 11:21:10
阅读次数:
272
http://www.rqyl.gov.cn/rqxw-d.php?ID=-153%20%20%20union%20select%201,database%28%29,3,4,user%28%29,6,7,8,9,10,11,12,13,14,15,16,17 database() 查看 数据库us...
分类:
数据库 时间:
2015-11-18 22:39:22
阅读次数:
246
1. 基础用法:./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库./sqlmap.py -u “注入地址” -v 1 –users // 列数据库用户./sqlma...
分类:
数据库 时间:
2015-11-17 01:34:27
阅读次数:
269
题目链接:http://ctf1.simplexue.com/web/4/index.php刚开始看了题目“程序员的问题”,顾名思义,就想到了肯定是代码的问题。于是怀疑应该是有sql注入点。用sqlmap测试了下。然而并没有用,于是想到是不是要用所谓的“万能密码”sql语法来破解呢。查了一下资料。一...
分类:
其他好文 时间:
2015-11-16 20:58:50
阅读次数:
253
用了这么多年,一直没被淘汰,可能也是因为开源,脚本文件也容易添加,集体的力量是强大的,也确实有一些东西值得写一写。http://drops.wooyun.org/tips/143http://drops.wooyun.org/tips/401http://drops.wooyun.org/tips/5254我很早之前也看过一些源码,也在payloads.xml、qu..
分类:
数据库 时间:
2015-11-06 07:21:44
阅读次数:
215
sqlmapSqlMap POST注入自动检测sqlmap -u “http://www.xxx.com/news?id=1″ –smart –level 3 –users单个注入sqlmap -u “http://www.xxx.com/1.php” –data=”id=1″多个post值注入sq...
分类:
数据库 时间:
2015-11-03 17:34:25
阅读次数:
196
本人因为使用了win10的系统,很长一段时间sqlmap和nmap都有些小问题,今天在同事的帮助下终于都得到了解决。一、sqlmap没有颜色 解决方案:重新安装python即可二、nmap无法使用 主要还是winpcap的问题,之前我们使用的都是winpcap4.1.3.但是在win10下需要下载w...
分类:
数据库 时间:
2015-11-02 19:20:47
阅读次数:
282
1、配置文件sqlMap.xml中需要注意的点 比如: RetuId = #retuid:VARCHAR# OrderId = #orderid:VARCHAR# UserId = #u...
分类:
其他好文 时间:
2015-10-29 18:01:19
阅读次数:
156
某日偶遇一SQLInjection Point,MSSQL 2008,已开启显错模式。马上扔进SQLMap跑,一路顺畅,竟然还是SA的权限,心想运气真好,无论如何都拿定了。数据库,表,列都列出来了,但是上–dump参数就死活跑不出来。报错 “unable to retrieve the number...
分类:
数据库 时间:
2015-10-25 16:15:59
阅读次数:
415
