51工具盒子
sqli-labs系列——Less-13
<h2>摘要 {#摘要}</h2> <blockquote> <p>本次对话是关于sqli-labs-master中的Less-13注入漏洞的实验过程。通过构造payload,我们成功地获取到了数据库的名称、表名、列名以及相应的数据。在操作过程中,我们使用了单引号的报错注入,并且利用updatexml函数来获取报错信息。同时,我们...
最新发布
sqli-labs系列——Less-14
<h2>摘要 {#摘要}</h2> <blockquote> <p>本次实验是针对Less-14注入漏洞的实验过程和优化注入语句的方法。我们首先通过构造payload判断是否存在注入漏洞,然后利用updatexml函数获取数据库的名称、表名、列名以及相应的数据。需要注意的是,本题是双引号的报错注入,因此在构造注入语句时需要注意引号...
sqli-labs系列——Less-15
<h2>摘要 {#摘要}</h2> <blockquote> <p>本文主要介绍了Less-15注入漏洞的实验过程和优化注入语句的方法。通过构造payload来获取数据库的名称、表名、列名以及相应的数据,并提到了注入漏洞的危害以及如何避免注入漏洞的发生。在实验过程中,我们还介绍了ASCII码表的使用,并演示了如何通过猜解ASCII...
sqli-labs系列——Less-16
摘要 {#摘要} -------- > 这篇文章主要介绍了如何通过Less-16注入漏洞进行盲注实验。实验过程中,首先通过判断数据库名称长度为8,然后利用ASCII码猜解数据库名称为security。接着,通过查询information_schema.tables表找到emails表的名称,再查询information_schema.columns表找到id字段的名称。...
sqli-labs系列——Less-17
<h2>摘要 {#摘要}</h2> <blockquote> <p>本文主要介绍了在sqli-labs-master平台的Less-17实验中,如何通过报错注入的方式获取数据库的名称、表名、列名以及相应的数据。首先通过填写恶意输入触发SQL语句执行错误,然后通过构造注入语句来获取数据库的名称、表名、列名以及相应的数据。具体来说,我...
sqli-labs系列——Less-18
<h2>摘要 {#摘要}</h2> <blockquote> <p>本文介绍了如何通过Less-18这道SQL注入题目来学习和掌握SQL注入攻击的基本技术和方法。通过审计代码和抓包分析,我们发现该题目存在SQL注入漏洞,可以通过修改User-Agent值来进行注入攻击。然后,我们通过判断库名、表名和列名等方式来获取目标网站的敏感信...
sqli-labs系列——Less-19
<h2>前言 {#前言}</h2> <blockquote> <p>这题呢,跟我们的Less-18是有点类似的,只是注入方式的不同 我们通过输入正确的账号和密码看出页面回显了Your Referer is: http://192.168.199.135/sqli-labs-master/Less-19/,由此看出我们本题的重心就要...
sqli-labs系列——Less-20
<h2>前言 {#前言}</h2> <blockquote> <p>第20题我们输入正确的用户名密码点击登录之后会发现他记录了我们许多的信息,当然最重要的一点就是下面记录了我们的cookie,那我们可以从cookie下手尝试注入</p> </blockquote> <p><img src=...
sqli-labs系列——Less-21
<h2>前言 {#前言}</h2> <blockquote> <p>第21关貌似跟20关是一样的,登录后同样显示你的相关信息,但是仔细一看他的cookie值是被base64编码的,那我们把我们的payload也进行编码尝试注入</p> </blockquote> <h2>前期准备 {#前期准备}...
sqli-labs系列——Less-22
前言 {#前言} -------- > 本题跟上题做法相似,只是符号的区别 前期准备 {#前期准备} ------------ > 开启phpstudy,开启apache服务以及mysql服务 源码下载](https://img1.51tbox.com/static/2024-11-21/nxhufIACzHhP.jpg)
