XiaodiSec day029 Learn Note 小迪渗透学习笔记

XiaodiSec day029 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day 29

知识点

明确查询方式注入 Payload

明确查询方式注入产生功能

明确 sql 盲注延时、布尔、报错

开始

如果查询数据没有在页面上回显,将不同于之前的注入情况

使用 union 将无法获得回显

盲注

逻辑判断

如构造,通过函数 left 判断,页面回显正常则猜中

复制代码
?id=1 and left(database(),1)='s'

?id=1 and left(database(),2)='sy'

基于延时的判断

抓包来判断是否有延时,直接用浏览器访问判断时间不妥

如果条件是真,返回结果 1,如果条件是假,返回结果 2
if(条件,结果1,结果2)

复制代码
?id=1 and if(1=1,sleep(5),0)

基于报错的回显

在开发时写了错误处理,如果接收的 url 参数有误则触发错误

如果没有在代码中写错误处理,一般比较难以利用

案例

(手工注入太多了,没必要,直接使用工具)

添加数据一般没有回显,查询一般有回显

相关推荐
一只fish19 分钟前
MySQL 8.0 OCP 1Z0-908 题目解析(16)
数据库·mysql
The_cute_cat20 分钟前
Ajax和Axios的初步学习
前端·学习·ajax
泊浮目1 小时前
未来数据库硬件-网络篇
数据库·架构·云计算
amazinging1 小时前
北京-4年功能测试2年空窗-报培训班学测开-第四十三天
python·学习
静若繁花_jingjing1 小时前
Redis线程模型
java·数据库·redis
V我五十买鸡腿1 小时前
顺序栈和链式栈
c语言·数据结构·笔记·算法
祁思妙想1 小时前
八股学习(五)---MySQL
学习
虾球xz2 小时前
CppCon 2018 学习:THE MOST VALUABLE VALUES
开发语言·c++·学习
麟城Lincoln2 小时前
【RHCSA-Linux考试题目笔记(自用)】servera的题目
linux·笔记·考试·rhcsa
飞翔的佩奇2 小时前
Java项目:基于SSM框架实现的忘忧小区物业管理系统【ssm+B/S架构+源码+数据库+毕业论文+开题报告】
java·数据库·mysql·vue·毕业设计·ssm框架·小区物业管理系统