2025-01-04 厉飞雨 阅读(262) 评论(0) 赞(15)

在第9天到第11天我们介绍了SQL这个概念，后来因为大家反映没用（其实是很有用的，基础不好怎么晋级呢？） 今天我们就来好好说说利用SQL进行攻击 什么是SQL注入式攻击？ 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储...

2025-01-04 厉飞雨 阅读(355) 评论(0) 赞(18)

曾经发过一次开源的xss平台 [http://zone.wooyun.org/content/23697](https://51tbox.com/) 更新至3.1，算是一个稳定版本吧，预期的功能已都实现，详细介绍可以看github里的README.md 特点：单用户，无sql，安装及其方便，**对环境几乎无要求** ，可直接在php虚拟空间使用 （如果需要keeps...

2025-01-04 厉飞雨 阅读(226) 评论(0) 赞(14)

假设存在一个PHP+SQL SERVER的环境，存在POST注入，只能进行延时盲注，存在防火墙，Sqlmap能够绕过，但不能注入，手工注入语句如下： ### 0x1:判断是否存在注入： \[sourcecode language="plain"\] #inject为注入点，--OwlXXpFshm%0A绕过WAF，替换空格为注释+回车 #如果存在...

2025-01-04 厉飞雨 阅读(262) 评论(0) 赞(15)

**时间：**2018年9月21日 **地点：**北京新世纪日航饭店（北京市海淀区首都体育馆南路6号） **指导单位：**上海市经济和信息化委员会 **主办单位：**上海市云计算产业促进中心、DBAplus社群 ![AIOps与DevOps落地、数据库选型与SQL优化策略尽在Gdevops北京站_https://www.tiejiang.org_线下沙龙_第1张](ht...

2025-01-04 厉飞雨 阅读(277) 评论(0) 赞(14)

今天给大家介绍的是一款名叫MSDAT（Microsoft SQL Database Attacking Tool）的工具，MSDAT是一款开源的渗透测试工具，研究人员可利用MSDAT来对Microsoft SQL数据库的安全性进行远程测试。 [![MSDAT：一款专门针对Microsoft SQL数据库的渗透测试工具_https://www.tiejiang.org_渗透注入...

2025-01-04 厉飞雨 阅读(324) 评论(0) 赞(23)

先说说什么叫SQL？大家反正都觉得这SQL和数据库有关，其实也不是这样的。SQL是一种结构化数据库查询语言，其发音为"sequel"或"S-Q-L"。尽管MICROSOFT以其特有的方式加入了所有权声明，但它在大多数据库应用中近乎成为一种标准。简言之，它是一种使用你选择的标准从数据库记录中选择某些记录的方法。 因为它的重要所以我将会花一...

2025-01-04 厉飞雨 阅读(316) 评论(0) 赞(13)

大家都知道FTP，但很多人都讲不好它具体指什么，FTP是指文件传输协议，因特网上常用的文件传输协议，它使用户能够在两个联网计算机间实现文件传输，是因特网上传递文件最主要的方法。在使用FTP进行文件传输时，首先启动FTP客户端程序与远程主机建立连接，然后向远程主机发出传输命令，远程主机在收到命令后给予响应，并执行正确的命令。除此之外，FTP还提供登录、目录查询、文件操作及其他会话...

2025-01-04 厉飞雨 阅读(369) 评论(0) 赞(14)

\*本文作者：风之传说，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。 0×00 前言 ------- > 看到标题，很多人肯定会一脸懵逼，这是什么鬼。利用xss绕过waf进行sql注入？话说，没点意思的文章，我自己也不好意思写出来啊。 ![新型渗透手法：利用XSS绕过WAF进行SQL注入_https://www.tiejiang.org_渗透注入_第1张...

2025-01-04 厉飞雨 阅读(380) 评论(0) 赞(13)

除非你遵循本文介绍的这些技巧，否则很容易编写出减慢查询速度或锁死数据库的数据库代码。 [![不得不看，只有专家才知道的17个SQL查询提速秘诀！_https://www.tiejiang.org_SQL Server_第1张](http://static.51tbox.com/static/2024-12-22/col/2af2193601833539718fd336ce95...

2025-01-04 厉飞雨 阅读(319) 评论(0) 赞(14)

关键字：APIfen、工具使用、sql注入 涉及工具/包：Fiddler、Burpsuite、Js2Py、Closure Compiler、selenium、phantomjs、sqlmap 摘要： --- 记录分析某音乐类App评论相关API的过程，以及一些工具/包的基本使用（部分工具对最后尝试没有影响，但在其它场景或许有用），最后结合sqlmap进行注入尝试。本文对于...