作者归档:frinck

🙋🏽‍♂️sqlmap的使用 🧪 🎯

sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,日前支持的数据库是MS-SQL,,MYSQL,ORACLE,POSTGRESQL,DB2,SQLlite,FIrebird。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限时实行任意命令。sqlmap的功能强大到让你惊叹,常规注入工具不能绕过的话,终极使用sqlmap会有意想不到的效果。[……]

继续阅读

🙋序列化➕反序列化☣️

序列化与反序列化时相对于对象来说的,在很多应用中让他们需要将存在内存中的对象离开内存,从而进入硬盘以便长期保存。例如在web服务器中session对象中,当有10万用户并发访问的时候,就有10万个session对象,此时内存可能吃不消,于是web容器就把一些session先序列化到硬盘中,等再要用的时候再再硬盘中反序列到内存中。[……]

继续阅读

📁文件上传漏洞🍉

文件上传漏洞👨‍✈️

1.简介👆

文件上传漏洞就是说用户上传了一个可以执行的脚本文件,并通过这个文件拿到了执行服务器端命令的能力,正常情况下上传功能是一个正常业务需求,对于网站来说,很多时候确实需要用户将文件上传到服务器中,但是由于往回走那对上传部分控制不足或者存在缺陷,从而导致用户可以越过其本[……]

继续阅读