原创 【運維安全】-MySQL手工注入
爲什麼要學習手工注入? 工具:sqlmap 萬能密碼,直接登錄到後臺頁面,不需要密碼:admin' or 1=1#,當後臺存在注入的話,才能使用注入密碼,不是所有的網站進行登錄。 當輸入admin,admin,在後臺的SQL語句是:
2019-05-09 13:17:33
原创 【運維安全】-注入分類
如何去發現SQL注入? 1.通過Web漏洞掃描工具:APPScan、AWVS、 2.在參數後面添加特殊字符,比如單引號,各種各樣的字符,通過提交字符,是否有報錯的行爲,來判斷是否有注入漏洞。 3.通過工具大量的模糊測試。 數字型注入:i
2019-05-09 13:17:33
原创 【運維安全】- 什麼是SQL注入
爲什麼要學Web漏洞? 1.需要看懂日誌,別人是怎麼***的? 2.需要看懂別人提交的***語句。 3.需要看懂別人怎麼操作的 SQL注入原理: 把sql語句插入web的表中,提交的查詢sql,上傳給數據庫,最終達到數據庫的惡意操作。不同的
2019-05-09 13:17:33
原创 【運維安全】-sqlmap使用
使用環境:python 官網:sqlmap.org切換到路徑下:啓動sqlmap:python sqlmap.py下圖註釋:-u 指定URL-v 3 顯示注入過程操作時,一直默認就可以,可以通過各種各樣的語句,對站點進行測試。當顯示下述信息
2019-05-09 13:17:33
原创 【運維安全】-BurpSuite安裝
軟件所需環境:jdk1.8,因爲是java開發的下圖爲界面圖片,學習是爲了獲取HTTP的數據包,進行攔截,修改數據庫包的測試。1.安裝JDK,並配置環境變量。2.找到burpsuite.jar文件,單擊右鍵,打開方式,用java打開,如下圖
2019-05-08 13:17:09
原创 【運維安全】-***流程
常規***; 1.簽訂保密協議 2.針對性目標進行測試 3.指定範圍去測試 非常規:1.APT***,沒有指定範圍,沒有特定目標,不擇手段的去獲取我想要的數據。***測試流程:***流程:
2019-05-07 13:22:34
原创 【運維安全】-HTTP協議
如果想深入瞭解,推薦《圖解HTTP》,網上有PDF版。 兩個命令: curl curl www.baidu.com 可以看到網頁信息 curl www.baidu.com -I # 可以看到狀態碼 telnet
2019-05-07 13:22:34
原创 【運維安全】-安全術語
什麼是抓雞? 指通過掃描弱口令、爆破、漏洞自動化種馬達到控制機器。 被種了馬的機器,會被用來對別人實行DDos GJ,或者用來刷流量,刷廣告,或者當跳板,用來做違法的事情。 1433抓雞(Sql Server數據庫) 暗網:
2019-05-06 13:15:29
原创 Shell腳本中的邏輯判斷
-gt 表示大於-lt 表示小於-ge 表示大於等於-le 表示小於等於-eq 表示等於-ne 表示不等於語法:格式1:if 條件 ; then 語句; fi #如果滿足條件,然後怎麼樣。例如:a=5if [ $
2019-02-22 22:51:45
1
原创 while循環
語法 while 條件; do … ; done案例1當系統的負載,大於10時,發封郵件給指定賬戶。 #!/bin/bash while :
2019-02-22 22:51:41
原创 break跳出循環
直接退出整個循環,不再循環。 #!/bin/bash for i in `seq 1 5` #變量名爲i,區間爲1到5. do echo $i if [ $i -eq 3 ] #如果
2019-02-22 22:51:40
原创 for循環
語法:for 變量名 in 條件; do …; done 作用:計算1-100所有數字的和 #!/bin/bashsum=0for i in seq 1 100 #i是變量名dosum=$[$sum+$i] #賦值語
2019-02-22 22:51:40