sqlmap直接连接oracle数据库,决定安装cx_Oracle模块,进行dump...
分类:
数据库 时间:
2014-11-06 17:41:39
阅读次数:
391
2012-04-11 ibatis exception“Alias name conflict occurred. The alias 'weibobo' is already mapped to the value 'null'.”别名已有定义,sqlmap的namespace只是方便调用定义的语...
分类:
数据库 时间:
2014-11-06 16:23:38
阅读次数:
212
1)sqlmap.xml中的配置如下:需要注意的事项:a)parameterMap中对应的属性property的值要和存储过程中的名字一样,并且对应的顺序要和存储过程中的顺序一致,否则可能无法获取对应的返回值;<!--调用packaget的存储过程的参数--><parameterMapid="proProductDzProcParam..
分类:
其他好文 时间:
2014-10-31 19:20:39
阅读次数:
183
./sqlmap.py-u‘目标网址‘./sqlmap.py-u‘目标网址‘--dbs-v0显示数据库./sqlmap.py-u‘目标网址‘-D数据库--tables查表./sqlmap.py-u‘目标网址‘-D数据库-T表--columns列./sqlmap.py-u‘目标网址‘-D数据库-T表--columns--dump导出注入分法不同,种类不同,来个简单的分类:1.get型:s..
分类:
数据库 时间:
2014-10-28 02:09:05
阅读次数:
331
-u 指定目标 --dbs 列数据库 --tables 列表 --columns 列字段名 --dump 列字段值 --dbms=mysql 指定数据库类型 --cookie 指定cookie,可只指定存在注入的参数 --level 2 指定测试等级,等级大于等于2时才会进行cookie注入测试,默...
分类:
数据库 时间:
2014-10-27 12:35:51
阅读次数:
251
在通常情况下iBATIS的参数在sqlmap中使用#param#的形式,参数名以’#’包着,但当使用sql的LIKE语句时就发生了问题,在单引号中无法使用#param#这种形式,下面列举出了3种方法来实现:当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时...
分类:
数据库 时间:
2014-10-24 20:29:14
阅读次数:
256
在sqlmap文件中不使用“#VALUE#”来原样(参数对应什么类型,就当什么类型,比如拼凑的内容为string则自动加上了‘’)读取,而是$VALUE$方式来读取,即不加任何的东西,比如单引号啥的,而是原样添加到sqlmap文件的sql语句中。如此,则OK了。以下为#与$的使用区别:$中间的变量就...
分类:
数据库 时间:
2014-10-24 20:28:01
阅读次数:
231
用到的几个DLL按理说应该到官网下载,但这个官网是谷大哥的,不知道是不是被屏蔽,总打不开,幸好从别人的程序里拷过来一份,直接放在自己的程序里就行! 程序结构如下: Providers.config,SqlMap.config,TUser.xml是必须的。TUser.xml为对应TUser.cs实体类...
分类:
Web程序 时间:
2014-10-23 23:59:44
阅读次数:
396
在struct框架中,我们会写出实体类然后再sqlmap中进行映射,通常我们都知道java中date类型有java.sql.date 和 java.util.date经过细心发现,将对象生成为json对象时,json类会将date类型转换成java.util.date如果在实体类中写成java.sq...
分类:
其他好文 时间:
2014-10-19 19:48:39
阅读次数:
222
在Ibatis中我们使用SqlMap进行Sql查询时需要引用参数,在参数引用中遇到的符号#和$之间的区分为,#可以进行与编译,进行类型匹配,而$不进行数据类型匹配,例如: select * from table where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'id...
分类:
其他好文 时间:
2014-10-13 13:47:59
阅读次数:
173
