WEB-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

知识点:

1、数据库堆叠注入

根据数据库类型决定是否支持多条语句执行

数据库支持多条语句执行就是堆叠,如:

2、数据库二次注入

应用功能逻辑涉及上导致的先写入后组合的注入

3、数据库Dnslog注入

解决不回显(反向连接),SQL注入,命令执行,SSRF等

4、黑盒模式分析以上

二次注入:插入后调用显示操作符合

堆叠注入:判断注入后直接调多条执行

DNS注入:在注入上没太大利用价值,其他还行

如果遇到校验select|update|delete|drop|insert|where等字段的过滤,可以把sql语句取出来,然后进行十六进制的编码'

'

设置变量a,然后执行。

编辑信息时,把注入脚本先存进去,存的时候改了地址的值,然后在查询的时候地址就是存入的注入结果

DNS利用-平台介绍&SQL注入&命令执行等

1、平台

http://www.dnslog.cn

http://admin.dnslog.link

http://ceye.io

2、应用场景

解决不回显,反向连接,SQL注入,命令执行,SSRF等

SQL注入:

让服务器自身去请求远程dns地址,然后将请求值%USERNAME%等带出去

相关推荐
星期天要睡觉1 小时前
MySQL 综合练习
数据库·mysql
Y4090011 小时前
数据库基础知识——聚合函数、分组查询
android·数据库
JosieBook2 小时前
【数据库】MySQL 数据库创建存储过程及使用场景详解
数据库·mysql
处女座_三月2 小时前
改 TDengine 数据库的时间写入限制
数据库·sql·mysql
酷ku的森2 小时前
Redis中的hash数据类型
数据库·redis·哈希算法
Arva .2 小时前
Redis
数据库·redis·缓存
DemonAvenger2 小时前
MySQL与应用程序的高效交互模式:从基础到实战的最佳实践
数据库·mysql·性能优化
博一波3 小时前
Redis 集群:连锁银行的 “多网点智能协作系统”
数据库·redis·缓存