SQL注入概述 SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以构造不同的SQL语句来实现对数据库的任意操作。
这里以PHP代码为例:
1$sql = ''SELECT \* FROM users WHERE id = $_GET [ 'id' ]'';
比如这里的参数 id 是可控的,还是带入了数据库查询,所以非法用户可以任意拼接SQL语句来进行攻击。
1.原理SQL注入的原理:
SQL注入漏洞的产生需要满足以下两个条件:
参数用户可控:前端传给后端的参数内容是用户可以控制的。
参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。
2.本质SQL注入攻击的本质:
SQL注入攻击其实就是:
攻击语句全都是由前端的输入传入后端
通过浏览器的网址传入到后台数据库进行查询
通过数据库返回的值来判断你所得到的数据
这就是SQL注入的本质。
数据库 information_schema 在学习SQL注入漏洞之前 ...
MySQL概述 为了更好的理解这些概念,首先我们来思考一下:
什么是数据库?
什么是数据库管理系统?
什么是SQL?
他们之间的关系是什么?
数据库:英文单词DataBase, 简称DB。按照一定格式存储数据的一些文件的组合。顾名思义:存储数据的仓库,实际上就是一堆文件。这些文件中存储了具有特定格式的数据。
数据库管理系统:DataBaseManagement,简称DBMS。12 数据库管理系统是专门用来管理数据库中数据的,数据库管理系统可以对数据库当中的数据进行增删改查。常见的数据库管理系统:MySQL、Oracle、 MS Sqlserver、DB2、sybase等….
结构化查询语言:SQL程序员需要学习SQL语句,程序员通过编写SQL语句,然后DBMS负责执行SQL 语句,最终来完成数据库中数据的增删改查操作。
三者之间的关系DBMS–执行–> SRL –操作–> DB
也就是说:
MySQL通过执行SQL语句,来操作数据库
可以先安装数据库管理系统MySQL,然后学习SQL语句怎么写,编写SQL语句之后,DBMS 对SQL语句进行执行,最终来完成数据库的数 ...
DVWAhttp://124.70.99.199:1111
这是一个DVWA靶场!账号是admin,密码是什么?你猜猜?该靶场的flag就是密码经过md5加密后的字符串,格式如下:ROIS{md5加密后的字符串}
首先打开网址,进入一个登录界面
我们来使用bp抓包
小技巧:先打开bp,后开启拦截,最后点login拦截
将拦截到的HTTP发送到intruder进行爆破
首先对password和user_token添加payload
由于是含user_token的弱密码爆破,所以选用Pitchfork作为攻击类型
导入密码字典
Payload2类型用Recursive grep
重点:这里有个小坑,必须开启重定向才能找到token值
所以设置一个跟随重定向
添加value值
将刚刚复制的payload粘贴到这里
创建一个新的资源池,最大并发请求数为1
最后进行爆破就行了
成功进入界面,密码为password,将其进行md5加密
经过尝试,发现flag为32位小写字符串
Linux命令Linux 用户管理Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。
用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。
每个用户账号都拥有一个唯一的用户名和各自的口令。
用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录。
实现用户账号的管理,要完成的工作主要有如下几个方面:
用户账号的添加、删除与修改。
用户口令的管理。
用户组的管理。
1、添加新的用户账号使用useradd命令,其语法如下:1useradd 选项 用户名
参数说明:
选项:
-c comment 指定一段注释性描述。
-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号,如果同时有-o选项,则可 ...
HTML简介什么是 HTML?
HTML 是用来描述网页的一种语言。
HTML 指的是超文本标记语言: HyperText Markup Language
HTML 不是一种编程语言,而是一种标记语言
标记语言是一套标记标签 (markup tag)
HTML 使用标记标签来描述网页
HTML 文档包含了HTML 标签及文本内容
HTML文档也叫做 web 页面
什么是HTML 标签?
HTML 标记标签通常被称为 HTML 标签 (HTML tag)。
HTML 标签是由尖括号包围的关键词,比如
HTML 标签通常是成对出现的,比如 和
标签对中的第一个标签是开始标签,第二个标签是结束标签
开始和结束标签也被称为开放标签和闭合标签
什么是HTML 元素?
“HTML 标签” 和 “HTML 元素” 通常都是描述同样的意思.
但是严格来讲, 一个 HTML 元素包含了开始标签与结束标签。如下例子:
HTML 元素:
基础部分
声明为 HTML5 文档
元素是 HTML 页面的根元素
元素包含了文档的元(meta)数据,如 定义 ...
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick StartCreate a new post1$ hexo new "My New Post"
More info: Writing
Run server1$ hexo server
More info: Server
Generate static files1$ hexo generate
More info: Generating
Deploy to remote sites1$ hexo deploy
More info: Deployment
