一 、 前言近期一直再学习内网渗透,实验什么的都是玩玩靶机。这一天朋友说有个站点有漏洞,就发过来看了一些是一个SQL注入,继而开启了这次内网渗透。水平有限哈哈哈哈!没有什么技术要点纯属误打误撞,如果有...
学 SQL Server 我最常逛的 5 个网站
来自公众号:有关SQL很多读者加我微信,问的问题都很类似,“有没有好的书可以推荐”,“我是上班族,没有时间看书,有没有快速入门、进阶的视频推荐?”其实,这心态很像我曾经服务过的那些老板,“能不能帮我培...
「Burpsuite练兵场」SQL注入及相关实验(一)
说到SQL注入漏洞,各位小伙伴一定是耳熟能详,作为一种常见的高危漏洞,其对于应用程序的损害是非常严重的。因此这也是一个在渗透测试的过程中具有高优先级的验证目标,所以将与之相关的实验进行优先讲述。本文是...
我以为我对MySQL事务很熟,直到我遇到了阿里面试官
来自公众号:非科班的科班迎面走来了一个风尘仆仆的身穿格子衫的男子,手里拿着一个MacBook Pro,看着那稀少的发量,和那从容淡定的眼神。我心里一颤,我去,这是架构师,架构师来面我技术面,我心里顿时...
DataGrip 上手体验,真香!
DataGrip 是由JetBrains公司推出的数据库管理软件,DataGrip支持几乎所有主流的关系数据库产品,如DB2、Derby、H2、MySQL、Oracle、PostgreSQL、SQL ...
SQL手工注入总结 必须收藏
本文来源:乌云安全 虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有...
关于Apache SkyWalking SQL注入漏洞(CVE-2020-13921)风险提示
0x00背景介绍8月6日,天融信阿尔法实验室监测到应用性能监控(APM)工具Apache SkyWalking存在SQL注入漏洞。0x01漏洞描述当将H2 /MySQL / TiDB用作Apache ...
Apache SkyWalking SQL注入漏洞风险通告
1漏洞描述近日,腾讯安全团队发现并向Apache SkyWalking官方团队提交SQL注入漏洞,攻击者可利用漏洞获取服务器的敏感信息,目前官方已发布新版本修复该漏洞。腾讯安全专家建议相关单位及时开展...
一次sm4参数加密下的sql盲注
本文转自公众号:https://xz.aliyun.com/t/80710x00 前言 在一次授权渗透测试中,应用在前端使用sql语句拼接方式传送参数,很明显存在sql注入,提交漏洞后,用户大概不想...
MSSQL提权之xp_cmdshell
0x01 前提getshell或者存在sql注入并且能够执行命令。sql server是system权限,sql server默认就是system权限。0x02 xp_cmdshell有了xp_cmd...
CTF-web--命令注入
大佬总结的文章,本篇文章阅读时间大约30分钟。一 、基本原理命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。注入有很多种,并不仅仅只有SQL注入。比如:命令注入(Comma...
CTF-MISC-日志分析
看到了一篇关于CTF-MISC-日志分析的文章,而且作者在对日志分析总结的很细,很实用,搬运过来推荐下。总结——用于备忘和交流学习一.web日志分析(一)、特征字符分析1.sql注入有以上信息可以尝试...
79