get方式的注入用 sqlmap -u url+参数 post方式通过保存请求到文件,然后用 sqlmap -r xxx.txt 如果上面无效时,可以试试添加--data="name=value"来指定传参进行测试注入。 -- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,浏览器在发 ...
分类:
数据库 时间:
2020-06-03 00:26:04
阅读次数:
80
本地搭建sql注入网站练习 ? 测试安全狗,输入不合法参数被安全狗拦截: ? 使用sqlmap: ? ? 检测到防护机制,失败; 先手工尝试绕过安全狗: ? 将空格替换为 “/*//\*//\*\/c*/” 成功绕过安全狗; 写个sqlmap脚本: #demo.py def tamper(paylo ...
分类:
数据库 时间:
2020-05-27 13:46:26
阅读次数:
123
1.where和if标签 (1)where标签能消除第一个条件的前and 和or关键字,避免了sql语句语法错误 (2).if标签表示判断 <!-- 以性别和名字条件查询用户 --> <select id="findBySexAndName" parameterType="User" resultT ...
分类:
数据库 时间:
2020-05-23 12:50:17
阅读次数:
77
手工注入的话就是常规了,不写了 记录第一次用sqlmap进行post注入 第一步,用bp拦截 然后选择Copy to file,保存为txt格式 我这里保存为a.txt python sqlmap.py -r C:\Users\ASUS\Desktop\a.txt --dbs 爆数据库 然后爆表 p ...
分类:
数据库 时间:
2020-05-17 17:42:48
阅读次数:
100
Mybatis 的连接池技术 在 Mybatis 的 SqlMapConfig.xml 配置文件中,通过<dataSource type=”pooled”>来实现 Mybatis 中连接池的配置。 1.1 Mybatis 连接池的分类 在 Mybatis 中我们将它的数据源 dataSource 分 ...
分类:
其他好文 时间:
2020-05-11 15:09:56
阅读次数:
63
这里选用登录页面/user/login.aspx测试。 通过burpsuite抓包,并得到/user/login.aspx的完整URL以及post到服务器的数据格式。 URL:http:// 192.168.50.100:8013/user/login.aspx?action=dl&name&pas ...
分类:
数据库 时间:
2020-05-06 01:47:03
阅读次数:
101
sqlmap中tamper脚本分析编写 置十对一些编码实现的脚本,很多sqlmap里面需要引用的无法实现,所以有一部分例如keywords就只写写了几个引用了一下,其实这里很多脚本运用是可以绕过安全狗的。本人也是刚开始学习python没多久,有一些错误的话请指正 chardoubleencode.p ...
分类:
数据库 时间:
2020-05-04 15:15:45
阅读次数:
93
持续更新内容涵盖 :Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Memcached、Redis、MySQL、Spring、Spring Boot、Spring Cloud、RabbitMQ、Kafka、 Linux 等技术栈(滴滴滴.会持续更新哦,记得点赞、 ...
分类:
编程语言 时间:
2020-04-18 12:08:10
阅读次数:
69
1、先安装谷歌插件 谷歌浏览器安装附件中扩展程序:Omega,打开浏览器的设置--> 更多工具 --> 扩展程序-->打开开发者模式 ...
分类:
数据库 时间:
2020-04-03 12:18:28
阅读次数:
106
[强网杯]随便注 当所需的语句被ban时可以考虑,用其他方式实现该语句。但是如果想不出同样可以考虑改变数据来利用本来执行的语句。 打开页面,一个输入框,前端注释写了一个SQLMAP是没有灵魂的23333(为我的sqlmap R.I.P),很明显是个注入题。Fuzz之后得到提示过滤了一些参数,并且发现 ...
分类:
其他好文 时间:
2020-04-01 12:43:01
阅读次数:
187
