- 博客(34)
- 收藏
- 关注
RSS订阅原创 墨者:SQL手工注入漏洞测试(SQLite数据库)
本文介绍了SQLite数据库的手工和自动化注入方法。SQLite与MySQL语法不同,但通过sqlite_master系统表可获取数据库结构。手工注入步骤包括判断字段数、确定显示位、获取表名和结构等,而sqlmap工具可实现自动化注入。文章提供了详细的SQL注入测试步骤和截图,并强调该方法仅用于安全学习,禁止非法使用。通过系统表sqlite_master可查询所有表结构信息,这是SQLite注入的关键点。
2025-07-29 15:26:13
183
原创 墨者:SQL过滤字符后手工注入漏洞测试(第1题)
本文介绍了SQL注入漏洞测试方法,重点针对存在字符过滤机制的场景。通过手工注入演示了绕过过滤的技巧:使用/**/代替空格,like代替等号,并配合URL编码。测试过程包括判断字段数、确定显示位置、获取数据库信息、系统信息、数据表和字段名等步骤。同时介绍了使用sqlmap自动化工具配合tamper脚本(space2comment、equaltolike、charencode)进行高效测试的方法。该文为Web安全测试人员提供了实用的SQL注入测试技术参考,特别是针对字符过滤场景的绕过方案。
2025-07-29 14:00:40
242
原创 墨者:SQL注入漏洞测试(HTTP头注入)
摘要:本文介绍了HTTP头注入SQL攻击的原理与测试流程。通过Burpsuite工具,演示了从确定字段数量、确认回显位到获取数据库信息的完整注入过程,包括使用order by判断列数、union select获取用户权限、数据库版本等关键信息,以及通过information_schema枚举表名和列名的方法。最后总结了漏洞成因(未过滤HTTP头部输入)和防御建议(使用预编译语句和参数验证)。全文强调该技术仅用于安全学习,禁止非法测试。(150字)
2025-07-29 00:35:25
151
原创 墨者:SQL注入漏洞测试(宽字节)
摘要:本文详细介绍了宽字节SQL注入技术,通过对比普通注入与宽字节注入的核心差异,揭示了GBK编码环境下利用%df吞掉转义符\的逃逸原理。实战部分展示了从注入点探测、字段数确定到最终数据提取的全流程,重点演示了Hex编码绕过、group_concat()聚合查询等关键技术,并附关键参数解析表。文章强调该技术需防范字符集配置问题,仅供安全研究学习,禁止非法测试。(149字)
2025-07-28 22:23:23
287
原创 墨者:SQL过滤字符后手工绕过漏洞测试(万能口令)
摘要:本文分析了某登录系统的SQL注入漏洞,攻击者可通过构造特殊用户名admin','a','a')#绕过身份验证。漏洞原理是注入字符闭合原始SQL语句并注释密码验证部分,使系统忽略语法错误返回首个匹配记录。文章详细解析了注入语句各组件作用,展示了从原始查询到变形语句的技术细节,并指出该漏洞利用字段不匹配和查询短路效应实现绕过。本文仅供安全研究参考,严禁非法测试。
2025-07-28 21:02:12
190
原创 墨者:SQL注入实战-MySQL
本文介绍了MySQL环境下Base64编码的SQL注入实战方法。主要内容包括:1)手工注入步骤,通过Base64编码SQL语句逐步获取数据库信息;2)使用sqlmap工具配合--tamper=base64encode参数自动化检测;3)关键参数说明和在线编码工具推荐。文章详细演示了从判断字段数到最终获取敏感数据的完整流程,强调该方法仅用于安全学习,严禁非法测试。
2025-07-28 18:33:48
421
原创 墨者:SQL手工注入漏洞测试(MySQL数据库-字符型)
本文详细介绍了MySQL字符型SQL注入技术,分为手工注入和工具利用(sqmap)两种方式。手工注入部分通过靶场实例演示了从判断字段数、确定回显位到获取数据库信息的完整流程,重点讲解了字符型注入的特殊闭合方法。sqlmap部分则展示了自动化测试的各项参数使用技巧。文章通过对比表分析了两者的优缺点,最后强调该技术仅用于安全学习。全文包含大量SQL语句示例和截图说明,适合网络安全学习者系统了解SQL注入原理与实践。
2025-07-28 16:57:03
347
原创 墨者:SQL注入漏洞测试(报错盲注)
摘要: 本文介绍了SQL报错盲注技术及其自动化工具sqlmap的应用。报错盲注通过构造错误SQL语句触发数据库报错获取信息,相比传统盲注更高效。文章详细演示了使用sqlmap进行全流程渗透测试:从检测注入点、枚举数据库/表/字段,到最终数据导出和MD5解密。关键参数表格对比了手工注入与自动化工具在效率、技术要求等方面的差异。最后强调该方法仅限合法安全测试,提醒读者遵守网络安全规范。(149字)
2025-07-28 11:33:07
346
原创 墨者:SQL注入漏洞测试(时间盲注)
本文介绍了SQL时间盲注技术及其测试方案。时间盲注通过观察服务器响应时间差异来推断数据,适用于无直接回显的场景。文章提供了两种测试方案:手动注入方式(包括测试注入点、检查时间盲注、获取数据库名、表名和列名等步骤)和SQLMap工具自动化注入(基本检测、获取数据库列表、表名、字段及导出数据)。两种方法各有特点,手动注入更灵活但效率低,而SQLMap自动化程度高。本文强调该技术仅用于安全学习,严禁非法测试。
2025-07-28 00:41:37
570
原创 墨者:SQL注入漏洞测试(布尔盲注)
布尔盲注通过逻辑判断间接获取数据,适合无错误回显的场景。SQLMap可自动化完成从注入检测到数据导出的全流程。关键参数:-u:指定目标-D-T-C:逐层定位数据--dump:最终导出数据防御建议:使用参数化查询+输入过滤,避免拼接SQL语句!声明:本文仅用于安全学习,严禁非法测试!❗❗❗。
2025-07-27 23:16:17
295
原创 墨者:X-Forwarded-For注入漏洞实战
摘要: 本文介绍了X-Forwarded-For(XFF)HTTP头的安全风险及利用方法。XFF用于记录客户端真实IP,但未经验证时可能被伪造导致SQL注入。实验使用Burp Suite拦截请求并添加恶意XFF头,再通过SQLMap自动化检测漏洞。关键步骤包括:1)修改请求头并保存;2)使用SQLMap获取数据库信息(--current-db)、表结构(-D/-T)、数据(--dump)等。最后提示靶场重启后需清除缓存(--purge)重新测试。工具组合Burp Suite+SQLMap可有效检测此类注入漏
2025-07-27 19:24:50
704
原创 墨者:SQL注入漏洞测试(登录绕过)
在网络安全领域,我们经常遇到这样的情况:一位网站管理员自信地声称自己的管理员密码"十分复杂,不可能被破解",然而却被渗透测试人员轻松绕过验证机制。本案例正是这样一个典型场景,通过SQL注入技术,使用所谓的"万能密码"成功登录了管理员账户。
2025-07-27 17:41:21
273
原创 墨者:SQL手工注入漏洞测试(MySQL数据库)
本文详细演示了MySQL手工SQL注入攻击的全过程。以墨者学院靶场为例,通过闭合SQL语句和联合查询系统表,逐步获取数据库敏感信息。主要步骤包括:1)判断字段数;2)确定回显位置;3)获取数据库信息;4)枚举数据表;5)获取字段结构;6)提取账号密码;7)MD5解密登录获取Key。整个流程利用order by、union select、group_concat等关键指令,结合information_schema系统表,最终成功获取数据库中的用户名和密码信息。文章还提供了MySQL手工注入的关键指令速查表,总
2025-07-27 16:58:18
338
原创 墨者:通过手工解决SQL手工注入漏洞测试(MongoDB数据库)
本文以墨者学院靶场为例,演示MongoDB数据库的手工SQL注入技术。通过闭合JSON/BSON语法和执行JavaScript代码实现注入攻击,主要包括五个步骤:1)查询回显位置;2)获取数据库名称(mozhe_cms_Authority);3)查询表名(Authority_confidential等);4)提取字段数据(含用户密码);5)MD5解密登录获取Key。文章详细说明每个步骤的注入指令和原理,并提供了关键指令速查表,包括tojson()、getCollectionNames()等核心函数的使用方法
2025-07-27 16:04:44
338
原创 墨者:SQL手工注入漏洞测试(Db2数据库)
本文演示了DB2数据库的手工SQL注入全过程。首先通过order by判断字段数,确定回显位后,利用current schema获取当前模式名。随后枚举数据表结构,通过syscat.tables和syscat.columns系统视图获取表名和字段信息,并运用DB2特有的XMLAGG函数实现批量查询。最终提取目标表数据完成注入,解密MD5密码后获取关键信息。文中还总结了DB2注入的特殊语法,如分页使用limit offset,count、系统表访问方式等,为安全测试人员提供了实用参考。
2025-07-27 00:47:45
407
原创 墨者:SQL手工注入漏洞测试(Oracle数据库)
本文详细演示了Oracle数据库手工SQL注入的全过程。首先通过order by判断字段数,利用union select确定回显位置;接着获取数据库信息、表名和字段名;然后通过排除法枚举数据,克服Oracle的rownum限制;最后解密MD5密码登录获取Key。文中还解析了关键指令如global_name、user_tables等的应用场景,提供了Oracle环境下SQL注入的实用技术方案。
2025-07-27 00:13:12
288
原创 墨者:通过手工解决SQL手工注入漏洞测试(PostgreSQL数据库)
本文以PostgreSQL数据库为例,演示了手工SQL注入的完整流程。首先通过order by判断字段数,利用union select确定回显位置;随后依次获取数据库名、表名、字段名等关键信息,最终通过string_agg函数批量导出用户凭证。文章详细解析了每个步骤的SQL指令,包括current_database()、information_schema系统表等PostgreSQL特有函数的使用方法,并提供了MD5解密工具地址。整个过程展示了从信息收集到最终获取关键数据的完整注入链,为PostgreSQL
2025-07-26 19:33:38
290
原创 墨者:通过sqlmap解决SQL手工注入漏洞测试(PostgreSQL数据库)
本文介绍了使用Kali Linux中的sqlmap工具对PostgreSQL数据库进行手工注入测试的实战过程。通过演示获取数据库名、表名、表结构及导出数据等步骤,展示了sqlmap工具的基本功能和使用方法。测试中针对靶场URL(http://124.70.71.251:47707/new_list.php?id=1)成功获取了reg_users表中的用户名和密码哈希值,并通过在线工具解密。文章还总结了sqlmap关键参数的功能说明和使用场景,为安全研究人员提供了实用的SQL注入测试参考。
2025-07-25 23:28:02
731
原创 K6 压力测试工具入门指南:安装与基础使用
K6 压力测试工具入门指南:安装与基础使用 K6 是一款由 Grafana 实验室开发的高性能开源负载测试工具,适用于 API、微服务和网站的性能测试。它采用 JavaScript 编写脚本,支持高并发模拟,适合 DevOps 流程。 安装方法: Windows:通过 Chocolatey (choco install k6) 或手动下载安装包 macOS/Linux:使用 Homebrew (brew install k6) 或 apt 命令 基础使用: 创建测试脚本(如 ceshi.js),定义 HTT
2025-07-20 11:38:30
526
原创 Mysql 身份认证绕过漏洞(CVE-2012-2122)遇到问题
使用MySQL官方文档命令时遇到两个问题:1.SSL连接错误(因MySQL 5.5.23不支持SSL而新版客户端默认启用);2.IP被封锁(因多次错误登录)。解决方法:先通过FLUSH HOSTS解除IP封锁,再在连接命令中添加--ssl=0参数禁用SSL。最终修正后的连接命令为:mysql -uroot -pwrong -h192.168.83.100 -P3306 --ssl=0。
2025-07-16 12:57:29
170
原创 Cherry Studio搭建Baidu Maps的详细使用教程
《使用CherryStudio集成百度地图服务教程》 摘要:本文详细介绍通过CherryStudio配置百度地图服务的完整流程。首先需准备DeepSeek API密钥和百度地图密钥,然后在CherryStudio中依次完成:1) 设置深度求索模型API;2) 创建MCP服务器;3) 配置百度地图参数;4) 申请并填写百度地图密钥。配置完成后,用户即可通过聊天界面查询路线信息(如北京西站到北京站的地铁路线及预计到达时间)。本教程强调参数配置的格式要求,并指出其他MCP服务可参照类似方法设置。
2025-07-13 12:00:33
730
原创 Ubuntu通过NAT模式使用全局代理的终极指南
💡 NAT模式就像"寄生"在宿主机网络上,让虚拟机共享宿主机网络能力。📦 内核层流量拦截器(支持TCP/UDP/ICMP全协议)国际包裹(GitHub)被海关(防火墙)拦截。🔄 强制所有流量走代理服务器(无差别处理)🎭 伪装成物理网卡(欺骗系统和应用)
2025-07-09 20:54:13
276
原创 虚拟机中Ubuntu采用桥接模式进行上网
摘要:本文详细介绍了在Win10宿主机上使用VMware Workstation Pro 17运行Ubuntu虚拟机时,通过桥接模式实现网络连接的配置方法。关键步骤包括:1)以管理员身份设置VMware虚拟网络编辑器;2)绑定物理网卡;3)配置Ubuntu为桥接模式;4)在Ubuntu中修改Netplan配置文件,设置静态IP、子网掩码、网关和DNS;5)应用配置后通过ping命令测试网络连通性。最终成功实现了宿主机与虚拟机的网络互通,配置过程中需确保IP地址与宿主机的网络参数匹配。
2025-07-08 18:24:15
343
原创 本地使用Nodejs安装n8n失败记录
摘要:记录本地通过Node安装n8n失败的解决方法。主要问题包括:1)全局路径配置冲突,需重置npm前缀路径为默认位置并清理缓存后重装;2)缺少sqlite3模块,需安装Visual Studio的C++编译工具链。解决方案包括修改配置路径、卸载清理重装n8n,以及安装VS的两个必要组件(C++工具链和Windows SDK)。说明VS是编译依赖项的必备工具,可选择轻量版安装。本文完整记录了安装失败的原因分析和具体解决步骤。
2025-07-01 19:36:01
319
原创 新版Pycharm添加conda的python解释器
如何在PyCharm 2025.1.2中配置Conda解释器:打开PyCharm设置通过"+"添加本地解释器选择"Conda"类型定位到conda.bat脚本文件(路径参考:Anaconda/scripts/conda.bat)加载并选择已创建的Conda环境确认后等待包扫描完成即可使用配置好的Conda环境进行开发
2025-06-16 12:26:09
821
1
原创 Ollama的自定义安装,配置环境变量与使用
这篇文章介绍了Ollama自定义安装和配置的方法。首先说明默认C盘安装会导致存储问题,建议安装到其他盘(如D:\Ollama)。安装步骤包括下载程序、指定安装目录和验证安装。其次讲解如何通过环境变量设置模型存储路径(如D:\Ollama\models),强调需重启电脑生效。最后演示基础使用方法:下载模型(如gemma3:1b)、交互对话、常用命令(查看/删除模型等)。全文提供了从安装到使用的完整指引,强调操作简单易上手。
2025-06-13 21:25:46
935
原创 阿里云镜像仓库的使用说明
本文介绍了使用阿里云容器镜像服务的完整流程,包括:1)注册认证并创建命名空间和镜像仓库;2)登录阿里云Docker Registry的操作方法,强调密码输入为隐性;3)详细说明了前后端项目镜像的构建、打标签和推送步骤,以及MySQL/Redis等基础镜像的拉取和推送方法;4)指出镜像版本号的命名规范(如v1.1、latest等);5)最后提到可通过"部署"功能查看镜像版本,为后续使用Docker Compose部署做好准备。该指南涵盖从镜像创建到部署前的完整操作流程。
2025-06-05 13:34:56
442
原创 Docker Desktop自定义安装路径
摘要:本文介绍了Docker Desktop自定义安装路径的方法。通过cmd进入安装程序目录后,执行"DockerDesktopInstaller.exe"install --installation-dir="D:\DockerDesktop\Docker"命令,即可将Docker Desktop安装到指定路径"D:\DockerDesktop\Docker"中。该方法有效实现了自定义安装位置的需求。(89字)
2025-06-04 11:35:55
373
原创 全局文件方式更改Element-Plus的默认样式
本文介绍了通过全局文件方式修改Element-Plus默认样式的方法。由于Element-Plus的默认样式难以直接修改,作者采用了全局文件的方式来实现样式定制。具体步骤包括安装sass-loader和sass,准备global.scss文件,并在main.ts中引入该文件。通过这种方法,成功解决了侧边栏上方和左边空白部分的问题,实现了样式的自定义调整。
2025-05-17 22:32:54
313
原创 以可视化方式,通过IDEA创建数据库中的表
本文很详细的介绍了如何在IntelliJ IDEA中使用内置的可视化工具创建和管理MySQL数据库。首先,确保已安装MySQL并创建或打开一个工程。接着,通过IDEA的“Database”功能连接到本地MySQL数据库,输入用户账号和密码进行测试连接。连接成功后,通过SQL语句创建一个测试数据库,并在其中创建数据表,定义表名、字段和约束。最后,演示了如何通过IDEA的console进行数据的增删改查操作,以及如何导出数据生成SQL语句。
2025-05-14 23:56:08
922
原创 使用Vue-cli脚手架快速创建项目教程
本文介绍了如何使用Vue-cli脚手架快速创建Vue项目,并详细说明了创建过程中的关键步骤和配置选项。首先,确保已安装Node.js并配置好环境。接着,通过命令行全局安装Vue-cli,并验证安装是否成功。然后,在指定目录下使用vue create命令创建项目,选择手动配置方式,并根据项目需求选择集成的功能,如Babel、TypeScript、Vue Router、Vuex等。
2025-05-12 17:13:56
658
原创 使用谷歌浏览器的开发者工具,多出的样式代码问题
问题:使用Google的开发者工具学习前端的盒子模型时,发现多出部分代码,如图所示。关闭扩展后,就可在开发者模式,查看正常代码。
2025-05-12 09:54:06
204
原创 WebStorm:TypeScript的自动化编译
本章介绍了如何在WebStorm中实现TypeScript的自动化编译,适用于不想使用VSCode而选择JetBrains工具的初学者。文章指出,在使用Vue或React等框架时,由于官方提供的脚手架和构建工具(如Webpack或Vite)已经配置好,开发者无需额外考虑自动化编译。实现步骤包括:创建一个空项目,编写index.html和index.ts文件,通过命令行生成tsconfig.json配置文件,并运行tsc --watch命令以启用自动监视和编译功能。
2025-05-07 15:21:34
215
原创 使用WebStorm中Run Configuration for TypeScript运行TypeScript文件或JavaScript文件
本文介绍了如何使用Run Configuration for TypeScript插件运行TypeScript文件,并展示了生成JavaScript文件的效果。首先,创建空项目并编写index.html和index.ts文件。接着,通过命令行配置tsconfig.json文件,并安装必要的依赖如ts-node和typescript。安装插件后,可以直接在编辑器内运行TypeScript文件。此外,还介绍了如何通过命令行编译TypeScript文件生成JavaScript文件,并在浏览器中查看运行效果。
2025-05-07 12:12:52
719
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人