- 博客(12)
- 收藏
- 关注
RSS订阅原创 PHP+MySQL 学生信息管理系统
本次基于数据库的应用设计基于学生信息管理系统实现增、删、改、查等基本功能首先建立student数据库,然后建立了学生基本信息表MySQL建表指令。
2024-12-17 21:16:02
1173
2
原创 burpsuite安装超详细保姆级教程
Burp Suite是一款广泛使用的网络安全测试工具,主要用于Web应用程序的安全性测试。它由PortSwigger公司开发,提供了一整套功能,帮助安全专家在Web应用中发现和利用漏洞。
2024-10-30 21:08:45
7828
7
原创 SQL注入实战——宽字节注入
df':会被PHP当中的addslashes函数转义为“%df\”\在URL里是倘若网站的字“%5C”那么也就是说,“%df"会被转成“%df%5C%27符集是GBK,MYSOL使用的编码也是GBK的话,就会认为“%df%5C%27”是一个宽字符。2、多字节字符集:在多字节字符集中-部分字符用多个字节来表示,另一部分字符(可能没有)用单个字节来表示。3、宽字节注入是利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字。单引号'在提交时会自动url编码为%27,空格会编码为%20。
2024-10-25 09:00:00
2873
原创 SQL注入实战——cookie注入
这次我们利用sqliabs less-20和burpsuite学习了cookie注入,找到注入点后爆破数据库等一系列信息。希望对你有所帮助!!
2024-10-23 21:19:41
948
原创 第四届网鼎杯网络安全大赛赛前模拟训练writeup
上传:文件随便命名,尽量不要出现中文(我是为了速度没有改名,后面又改成了K.php),复制文件位置,将其粘贴至40005后面。在home目录里有个CTF,打开后即可看到flag!(这里太着急了没有截图,今天补发)先写一个php脚本:一句话木马,密码:attack。看见了“上传”,那就是文件上传漏洞了!尝试点击网鼎杯图标,没有任何反应。打开环境,给我们这样一个页面。输入连接密码:attack。打开我要投稿,是这样的。然后打开蚁剑:添加数据。
2024-10-21 08:03:12
2649
8
原创 第四届网鼎杯网络安全大赛赛前模拟训练writeup
摘要:本文包含三个CTF挑战题解。crypto01通过凯撒密码解密得到flag{W!D@B#};crypto02使用base64解码获得wdflag{de605a3746fdc919};misc01在txt文档中直接找到flag为wdflag{14030b5a31e7984365c08da0ece8dd03}。每个题目都提供了简要的解密方法和最终结果。
2024-10-19 12:04:10
1322
原创 SQL注入实战——盲注
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
2024-10-09 17:44:57
1280
原创 SQL注入实战——post基于报错的注入
使用admin or '1'='1':这种构造方式在已知用户名的情况下使用。通过将用户名设置为admin,并且利用逻辑运算符构造出admin or '1'='1'的条件。由于'1'='1'总是为真,因此即使密码部分为假,整个条件也因为用户名的真实性而成立。例如,使用** or 1=1 #作为万能用户名,其中#用于注释掉其后的代码,使得密码部分被忽略,而由于1=1总是为真,因此整个条件成立。那么,我们的万能用户名应该为admin") or 1=1 --注:万能密码中的密码随便输入即可,也可以不输入!
2024-09-28 20:36:33
750
原创 SQL注入实战——get基于报错的注入
information_schema.tables:从information_schema库里面的tables表的爆出。查询结果如上所示,union联合查询能帮助我们找出第几个字段的内容放在login name和password的位置;group_concat(username,0x3a,password):获得username和password字段。因为ID=0,所有真正的用户名和密码无法查询,用union联合查询查到在第2和3字段。这里我们从1开始试,发现3可以,证明数据库是有编号为3的字段。
2024-09-25 17:07:53
842
原创 MySQL连接navicat报错:“无法连接到“本地主机”上的服务器”
(这里要记住自己的mysql版本号,比如我的是MySQL80)这种情况是因为MySQL并没有启动,我们将其启动即可。打开全局搜索>>>输入服务>>>打开后找到mysql。注意:命令提示符建议管理员身份运行,以防止权限不足!在命令框中输入 set start MySQL80。(这里MySQL80是我自己的MySQL版本号 )MySQL连接navicat出现以下报错。win+R 输入 cmd 打开命令提示符。启动后即可成功连接navicat。这时,就可以成功连接了。选中后右键>>>启动。
2024-09-23 15:51:15
1996
1
原创 phpstudy实战靶场搭建
链接:https://pan.baidu.com/s/1ilNecrKCENAK7Oi4KIp_YQ?接着找到sql-connections文件>>>db-creds.inc,用记事本编辑此文件。(有可能提示你没有权限打开该文件,请向管理员申请权限。通过百度网盘分享的文件:sqli-labs-php7-master.zip。注:如果MySQL无法启动,请留言!压缩包解压缩后将全部文件复制至此处。保存后就可以打开该靶场自己练习啦!启动阿帕奇和MySQL。当然,我肯定会分享给你。打开后显示未找到请求。
2024-09-21 16:41:18
670
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人