第一次完成了一个注入呢,虽然是恬不知耻的用sqlmap跑出来的 简单介绍注入时后台的数据等级,有助于后面的理解 ①可以类比成一个装着excel文件的文件夹,每一个excel文件就相当于一个数据库 ②库的下一级是表,相当于一个文件中存在的sheet表 ③表的下级是列 ④每一列中又有字段,可以相当于excel中的一个格格啦 简单记一下步骤,大佬们不要嘲笑我这个菜鸡啦 1.获得注入点,一般在URL末尾存在参数 2.爆出所有数据库名称 3.选定数据库,列出其中的表 4.列出选定表中的列 5.列出选定列中…

简单尝试Spring Cloud Gateway 简介 Spring Cloud Gateway是一个API网关,它是用于代替Zuul而出现的.Spring Cloud Gateway构建于Spring生态系统之上,包括Spring5,SpringBoot2等.它的目标是提供简单.有效的方式路由你的API. Spring Cloud Gateway不能在传统的Servlet容器中工作,也不能构建成一个war包工作.这一点很重要. 重要概念 路由:Gateway的基础构建模块.它包括一个ID,一个…

前言 selenium是一种自动化测试工具,简单来说浏览器会根据写好的测试脚本自动做一些操作. 关于自动化测试,一开始接触的是splinter,但是安装的时候发现它是基于selenium的,于是打算直接尝试selenium. 个人观点,selenium比splinter较为成熟,但是splinter较为直观.简单. 安装方法网上有很多,这里不赘述了. 代码 写了个简答的测试脚本,就是打开哔哩哔哩,然后在搜索框中搜索. #encoding=gbk from selenium import webd…

毫无疑问,我是个不善于写博文的人. 毫无疑问,react是个出的框架. 毫无疑问,react-native更是个牛逼的引擎. 我个人对react-native的理解就是js被js引擎编译,去调用本地语言提供的接口,然后达到原生语言能达到的视觉效果和运行效果,就是这么简单. 然而,在实际接触中,哪有那么简单. 首先吐槽的就是react-native init方法居然要FQ,还好公司的是海外带宽,创建之后可以带回家继续开发. 还有就是我这个中国人能看得懂的中文文档太少了,国内基本没几篇原创的文章,大…

由于之前着重于web漏洞,主机漏洞这块比较薄弱.也没有用过metasploit,对于很多系统漏洞还不熟悉,正好这几天不忙,就想着慢慢学习,再写点简单的东西,进行总结记录. 这次尝试的是MS12-020,可导致BSOD(死亡蓝屏) MS12-020全称Microsoft Windows远程桌面协议RDP远程代码执行漏洞, 远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称"本地电脑")连上提供微软终…

就以实验吧上那个简单的sql注入题为例吧,不过那道题确实经典,把sqlmap的整个使用过程都展现了一遍,先奉上那道题的地址:http://ctf5.shiyanbar.com/web/index_3.php 上截图: 第一步:先随便输一个参数,然后开始用工具,第一句话是使用-U 参数指定URL,如果URL存在注入点,将会显示web容器,数据库版本信息,如图 第二步:  使用 -dbs参数读取数据库,如图 第三步: 查看当前应用程序数据库 (不能发图了,每次发图还带用鼠标,宿舍关灯了,不能打扰其他…

首先下载需要的文件,如果是windows环境直接到http://sqlmap.org/下载安装所需要的文件即可. 更新 svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev sqlmap.py -u "http://www.islamichina.com/hotelinchina.asp?cityid=2&m=1″ -v 1 –sql-shell //执行SQL语句 sqlmap.py -u "ht…

-u “(url)” 1.判断可注入的参数 2.判断可以用那种SQL注入技术来注入 3.识别出哪种数据库 4.根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1.基于布尔的盲注,即可以根据返回页面判断条件真假的注入. 2.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断. 3.基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中. 4.联合查询注入,可以使用union的情况下的注入. 5…

因为学习和工作的需要用到登陆海外网站查阅相关的资料和文档,之前有需要使用的时候是问网友索要的账户登录本地电脑拨号的,但是老是跟别人要还是不好,决定自己尝试搭建一个长期使用.看到有不少的介绍提到VULTR新注册账户赠送余额,这样我也申请了账户,但是在搭建上遇到一些困难.网上的资料还是比较多,但是所谓的一些一键包都无法使用,有用户提到是不适合VULTR的使用,这就纳闷了. 通过几天的实验和使用,终于搭建完成PPTP,这样把几个方法整理出来,方法来自网上,只是把可以实现的方法记录下来(查看了网上一些一…

假设注入点为 http://www.abc.com/news.php?id=12 //探测数据库信息 sqlmap -u http://www.abc.com/news.php?id=12 –dbs >db_a >db_b // 选择一个数据库 猜解表名 sqlmap -u http://www.abc.com/news.php?id=12 -D db_b–tables // 猜解表结构 sqlmap -u http://www.abc.com/news.php?id=12 -D db_b-T…