当前位置: 首页 > news >正文

网站建设项目描述范文seo是什么职业合法吗

网站建设项目描述范文,seo是什么职业合法吗,中国建行网站首页,seo针对网站做策划文章目录 cookie注入练习获取数据库名称获取版本号 base64注入练习获取数据库名称获取版本号 user-agent注入练习获取数据库名称获取版本号 cookie注入练习 向服务器传参三大基本方法:GPC GET方法,参数在URL中 POST,参数在body中 COOKIE,参数…

文章目录

  • cookie注入练习
    • 获取数据库名称
    • 获取版本号
  • base64注入练习
    • 获取数据库名称
    • 获取版本号
  • user-agent注入练习
    • 获取数据库名称
    • 获取版本号

cookie注入练习

向服务器传参三大基本方法:GPC
GET方法,参数在URL中
POST,参数在body中
COOKIE,参数http在请求头部中COOKIE

cookie注入的注入点在cookie数据中,以sqil-labs-20关为例,做cookie注入练习,在虚拟机中打开链接http://127.0.0.1/sqli-labs-master/Less-20/index.php,用户名和密码都输入dumb登录

打开火狐代理,打开bp,刷新页面后到bp的proxy中的http history中查看拦截的数据包,快捷键Ctrl+r发送给Repeater,在拦截的http请求包中查看cookie字段。

尝试在cookie字段的uname中输入单引号,点击send发送,判断uname的数据类型和闭合方式:

uname=Dumb'

结果如下,数据类型为字符型,闭合方式为单引号:

在这里插入图片描述

由于有报错回显,所以可使用报错注入在cookie字段进行SQL注入:

获取数据库名称

在cookie字段中输入下面语句:

Dumb' and updatexml(1,concat(0x7e,(select database()),0x7e),1) #

updatexml(1,concat(0x7e,(select database()),0x7e),1)意思是通过中间的路径查找concat逗号前的内容,替换成concat括号后面逗号的内容,这个过程中如果中间的xpath路径出错,就会出现错误信息回显,我们把路径替换成concat(0x7e,(select database()),0x7e)查找数据库名字并拼接的语句就能得到数据库名称。

#用来注释掉后面的语句,–+和#都可以用来注释SQL语句,但是在http头部注入中**–+一般用于get方法的注入。**

结果如下,成功获得数据库名称security:

在这里插入图片描述

获取版本号

在cookie字段中输入下面语句:

Dumb' and updatexml(1,concat(0x7e,(select version()),0x7e),1) #

结果如下,成功获得数据库版本号5.5.53:

在这里插入图片描述

base64注入练习

base64是一种编码方式,> < =这些特殊符号转换成base64编码更有利于网络传输。

**base64注入的步骤和cookie注入类似,只是多了一步语句的base64加密。**以sqil-labs-22关为例,做cookie注入练习,在虚拟机中打开链接http://127.0.0.1/sqli-labs-master/Less-22/index.php,用户名和密码都输入dumb登录。

打开火狐代理,打开bp,刷新页面后到bp的proxy中的http history中查看拦截的数据包,快捷键Ctrl+r发送给Repeater,在拦截的http请求包中查看cookie字段,发现用户名是一段密文,查看render,发现其中的%3D其实是=号的URL编码:

在这里插入图片描述

复制用户名,在bp中的Decoder中先进行URL解码,然后进行base64解码,得到用户名Dumb:

在这里插入图片描述

获取数据库名称

经过测试,发现在cookie字段输入Dumb’'的base64编码才会报错,Dumb’不会报错,将下面语句

Dumb" and updatexml(1,concat(0x7e,(select database()),0x7e),1) #

在bp的Decoder中加密成base64编码:

RHVtYiIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDdlLChzZWxlY3QgZGF0YWJhc2UoKSksMHg3ZSksMSkgIw==

加密步骤:

在这里插入图片描述

将base64编码输入到cookie字段的uname,得到输出结果,数据库名称为security:

在这里插入图片描述

获取版本号

步骤同上,将语句

Dumb" and updatexml(1,concat(0x7e,(select version()),0x7e),1) #

加密

RHVtYiIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDdlLChzZWxlY3QgdmVyc2lvbigpKSwweDdlKSwxKSAj

得到版本号为5.5.53:

在这里插入图片描述

user-agent注入练习

以sqil-labs-18关为例,做cookie注入练习,在虚拟机中打开链接http://127.0.0.1/sqli-labs-master/Less-18/index.php,用户名和密码都输入dumb登录。

打开火狐代理,打开bp,刷新页面后到bp的proxy中的http history中查看拦截的数据包,快捷键Ctrl+r发送给Repeater,在拦截的http请求包中查看user-agent字段,测试它的数据类型和闭合方式:

输入gsw’发现报错且返回不匹配:

在这里插入图片描述

输入gsw’ #注释后面的语句也报错:

在这里插入图片描述

使用两个单引号闭合配对的方式来注入,此时无报错,可行:

在这里插入图片描述

获取数据库名称

在user-agent字段进行报错注入:

gsw' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and '1'='1

结果如下,成功获取到数据库名称:

在这里插入图片描述

获取版本号

在user-agent字段进行报错注入:

gsw' and updatexml(1,concat(0x7e,(select version()),0x7e),1) and '1'='1

结果如下,成功获取到版本号:

在这里插入图片描述

http://www.yayakq.cn/news/671017/

相关文章:

  • 最好网站开发公司电话网站建设比较好
  • 长沙做网站咨询公司不通过网站可以做360全景吗
  • 想做网站去哪里做网站开发求职信
  • 网站上怎么做星星评分wordpress文章输出数
  • 建设行政主管部门网站WordPress手机端底部悬浮窗
  • 2_网站建设的一般步骤包含哪些?免费制作公司网站
  • wordpress 后台文章 查询条件东莞网站优化多少钱
  • 重庆网站建设软件梧州网站优化公司
  • 岳阳网站开发培训没有公司个人可以做网站卖东西吗
  • 国外服装购物网站大全wordpress怎样切换语言
  • 江苏建设行政主管部门网站建筑企业信息查询平台
  • 网站文章要求文旅开发公司
  • 做导航网站怎么赚钱pinterest官网入口
  • 广州大型网站建设上海网站设计方法
  • 南昌网站建设代理商网站建设确认函
  • 陕西省建设监理协会网站主页如何自己开发app软件
  • 做网站什么公司好微信怎么开店铺小程序
  • 做资讯的网站网站建设需要的东西
  • 阿盟住房与建设局门户网站公司网站建设价位
  • 网站建设的策划文案崇信县门户网站留言首页
  • 广东省广州市佛山市seo工作流程图
  • 网站建设费用申请网站建设定位
  • 帮企业做网站前景怎么样制作网页第一件事就是选定一种
  • 做网站公司-深圳信科企业门户网站需求文档
  • 建设部网站哪里可以报名考监理员国外作品集网站
  • 怎么到百度做网站南宁江南区网站制作价格
  • 做字幕网站有哪些做微商如何引流推广?怎么找客源?
  • 专门做预言的网站安云自助建站系统源码
  • 网站域名hk果农在哪些网站做推广
  • 定制网站制作教案怎么写模板