WEB-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

知识点:

1、数据库堆叠注入

根据数据库类型决定是否支持多条语句执行

数据库支持多条语句执行就是堆叠,如:

2、数据库二次注入

应用功能逻辑涉及上导致的先写入后组合的注入

3、数据库Dnslog注入

解决不回显(反向连接),SQL注入,命令执行,SSRF等

4、黑盒模式分析以上

二次注入:插入后调用显示操作符合

堆叠注入:判断注入后直接调多条执行

DNS注入:在注入上没太大利用价值,其他还行

如果遇到校验select|update|delete|drop|insert|where等字段的过滤,可以把sql语句取出来,然后进行十六进制的编码'

'

设置变量a,然后执行。

编辑信息时,把注入脚本先存进去,存的时候改了地址的值,然后在查询的时候地址就是存入的注入结果

DNS利用-平台介绍&SQL注入&命令执行等

1、平台

http://www.dnslog.cn

http://admin.dnslog.link

http://ceye.io

2、应用场景

解决不回显,反向连接,SQL注入,命令执行,SSRF等

SQL注入:

让服务器自身去请求远程dns地址,然后将请求值%USERNAME%等带出去

相关推荐
A-刘晨阳1 小时前
从MongoDB到金仓:一次电子证照系统的平滑国产化升级实践
数据库·mongodb
瓜瓜怪兽亚1 小时前
前端基础知识---10 Node.js(三)
数据结构·数据库·node.js
掘根3 小时前
【Qt】常用控件3——显示类控件
开发语言·数据库·qt
码码哈哈爱分享3 小时前
MariaDB 与 MySQL 区别
数据库·mysql·mariadb
爱敲代码的TOM3 小时前
深入MySQL底层1-存储引擎与索引
数据库·mysql
GUIQU.3 小时前
【QT】嵌入式开发:从零开始,让硬件“活”起来的魔法之旅
java·数据库·c++·qt
牛奶咖啡137 小时前
关系数据库MySQL的常用基础命令详解实战
数据库·mysql·本地远程连接到mysql·创建mysql用户和密码·修改mysql用户的密码·设置mysql密码的使用期限·设置和移除mysql用户的权限
ANYOLY8 小时前
Redis 面试宝典
数据库·redis·面试
鲲志说8 小时前
数据洪流时代,如何挑选一款面向未来的时序数据库?IoTDB 的答案
大数据·数据库·apache·时序数据库·iotdb
没有bug.的程序员8 小时前
MVCC(多版本并发控制):InnoDB 高并发的核心技术
java·大数据·数据库·mysql·mvcc