今晚给一个网站做了一次入侵检测，首先进行信息刺探后，发现这个站有注入策略，所有页面都没法通过常规的注入，利用wvs扫描网站发现一个页面。 这个页面直接暴露出了错误信息，看了一下url没有参数却爆出了错误，感觉post能注入，于是抓包修改header分析了一下 发现这个页面 ...

一：中转注入法 1.通过http://www.xxx.com/news.php?id=1做了伪静态之后就成这样了 http://www.xxx.com/news.php/id/1.html 2.测试步骤： 中转注入的php代码:inject.php 3.本地环境 ...

安装：yum install -y gitcd /usr/local && git clone https://github.com/sqlmapproject/sqlmap.gitcd /usr/local/sqlmap --检查是否可以注入python sqlmap ...

利用sqlmap进行POST注入，常见的有三种方法: 注入方式一： 1.用Burp抓包，然后保存抓取到的内容。例如：保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n ...

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦） 该笔记参考网络中的文章，本文仅为了学习交流，严禁非法使用！！！ 一、介绍 1.动态页面：http://www.test.com/index.php?id=1（容易受到网路爬虫爬取，攻击） 2.静态 ...

首先配置服务器启动重写模块打开 Apache 的配置文件 httpd.conf 。将#LoadModule rewrite_module modules/mod_rewrite前面的#去掉。保存 ...

1、下载sqlmap github地址：https://github.com/sqlmapproject/sqlmap/zipball/master 2、sqlmap的运行环境需要python，这个网上教程一大把，在本机配置好python环境。 3、使用方法 ...

SQL手工注入（一） SQL注入：通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。【SQL注入原理】 ##服务端程序将用户输入参数作为查询条件，直接拼接SQL语句，并将查询结果返回给客户端浏览器 用户登录判断 SELECT ...