0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:
sql.php
<?php
$id=$_GET['x'];
$sql="select * from news
XPATH注入之常规注入$query="user/username[@name='".$user."']";一般的查询语句都长这样,可以构造语句user1' or 1=1 or '=1=1为真 ,'=' 为真,使用or连接,则可以匹配当前节点下的所有user使用' or 1=1 or '= 只能获取当前节点下的数据,flag不在当前节点中。而这里既然为ctf题目,肯定是需要获取flag的,这里xp
#导入库
import requests
#设定环境URL,由于每次开启环境得到的URL都不同,需要修改!
url = 'http://challenge-4917924317cea4ec.sandbox.ctfhub.com:10800/'
#作为盲注成功的标记,成功页面会显示query_success
success_mark = "query_success"
#把字母表转化成ascii码
转载
2023-12-19 20:01:16
99阅读
我们首先明白两个问题什么是盲注?盲注就是注入过程中,语句不回显到页面中什么是盲注?盲注就是利用一些方法进行判断或者尝试这个过程就是盲注盲注可以分为3类:1.基于布尔的SQL盲注(这里就是True/False)2.基于报错的SQL盲注3.基于时间的SQL盲注 在学习盲注前,我们需要先学习几个SQL语句是我们接下来可能会用到的1.构造逻辑判断的SQL语句(基于布尔的SQL盲注)在这里主要学的
转载
2024-01-05 23:18:17
115阅读
1. SQL盲注介绍SQL盲注与一般注入的区别在于一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示 页面上获取执行的结果,甚至连注入语句是否执行都无法得知。2. SQL盲注原理盲注的话,就像跟一个机器人聊天,但是这个机器人只会回答“是”与“不是”,因此,得从一个大的范围去问是与不是,然后慢慢的缩小范围,最后就是类似于问“数据库名字的第一个字是不是a啊”这样的问
转载
2024-05-09 14:27:51
91阅读
布尔全文搜索 在 MySQL 中,可以通过“IN BOOLEAN MODE”修饰符实现全文布尔搜索。此时,位于搜索字符串开头或结尾的符号具有特殊含义。例如,在下面的查询中,+/- 运算符代表单词必须出现或一定不出现时方能匹配。因此,该查询将返回表中包含“MySQL”但不包含“YourSQL”的记录:mysql> SELECT * FROM articles WHERE MATCH (tit
转载
2023-08-04 12:26:31
83阅读
sqli-labs从Less8到Less10是盲注练习:大家在看lcarmy做练习Less5时应该发现他手动输入了含有pay
原创
2022-11-07 18:40:58
206阅读
sqli-labs lab9/lab10是基于时间的盲注,如果完全用手动注入,费时费力。想到之前写过一篇基于布尔盲注的博文
原创
2022-11-07 18:41:36
274阅读
# Python 写标注脚本教程
随着人工智能和机器学习的快速发展,数据标注成为了一个越来越重要的环节。不论是图像识别、文本分析,还是语音识别,规范的数据标注都能大大提升模型训练的效果。这篇文章将介绍如何使用 Python 编写一个简单的标注脚本,帮助您快速进行数据标注。
## 1. 理解数据标注
数据标注是指为数据添加标签的过程,例如,把图片中的物体标出,或是为文本数据添加分类标签。常见的
原创
2024-09-21 08:12:15
210阅读
有时在InDesign中编辑好的文本框架需要打断其串接关系,我们除了选择相应的文本框工具,一个一个进行打断连接外,还可以运行InDesign里的脚本快速打断文本框之间的串接关系,从而建立新的文本串接联系。1.按Ctrl+d键,置入一个已编辑过的InDesign文档; 2.用选择工具点击任意文本框后, 按ctrl+alt+y键打开显示文本串接链条,可以从链接中看出,这些文本框都是相互串
前言当我们进行SQL注入时,当发现无法进行union注入或者报错等注入,那么,就需要考虑盲注了,当我们进行盲注时,需要通过页面的反馈(布尔盲注)或者相应时间(时间盲注),来一个字符一个字符的进行猜解。如果手工进行猜解,这就会有很大的工作量。所以这里就使用python写一个自动化脚本来进行猜解,靶场选择的是sqlilabs的第八关。参考资料:《python安全弓房》和盲注相关的payload写脚本之
原创
精选
2021-10-23 17:35:15
2098阅读
点赞
4评论
# Python数据标注脚本怎么写
在当今的数据驱动世界中,数据标注是机器学习和深度学习的关键步骤之一,特别是在图像处理、自然语言处理等领域。通过标注,计算机可以学会从大量数据中提取有用的信息。本文将探讨如何编写一个数据标注脚本,使用Python编程语言提供解决方案,并附带代码示例。同时,我们还将使用甘特图和ER图来帮助说明数据标注的过程和结构。
## 数据标注的基本概念
数据标注是指将原始
# 实现“mysql修改备注脚本”教程
## 整体流程
首先我们需要创建一个存储过程来修改表的备注信息,然后调用这个存储过程来实现修改操作。
下面是整个流程的步骤:
| 步骤 | 操作 |
|------|--------------------|
| 1 | 创建存储过程 |
| 2 | 调用存储过程修改备注 |
## 操作步骤及代码
原创
2024-06-04 05:13:37
18阅读
基本的图像操作与处理1 PIL:Python图像处理类库1.1 转换图像格式1.2 创建缩略图1.3 复制和粘贴图像区域1.4 调整尺寸和旋转2 Matplotlib2.1 绘制图像、点和线2.2 图像轮廓和直方图2.3 交互式标注3 Numpy3.1 图像数组表示3.2 灰度变换3.3 直方图均衡化3.4 图像的主成分分析(PCA)3.5 使用pickle模块4 Scipy4.1 图像模糊4.
转载
2023-09-21 10:16:12
70阅读
## 实现MySQL修改字段备注脚本
### 一、整体流程
下面是实现MySQL修改字段备注的整个流程图:
```mermaid
flowchart TD
A(连接到MySQL数据库) --> B(选择要修改字段备注的表)
B --> C(查看表的字段信息)
C --> D(选择要修改备注的字段)
D --> E(执行修改字段备注的SQL语句)
E -
原创
2023-11-10 11:29:41
98阅读
sqlmap简介 sqlmap支持五种不同的注入模式: 基于布尔的盲注,即可以根据返回页面判断条件真假的注入。基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。联合查询注入,可以使用union的情况下的注入。堆查询注入,可以同时执行多
转载
2023-10-09 18:44:21
7阅读
首先说下Sql盲注和Sql注入的区别:盲注:获得不了过多的信息,没有详细内容;普通注入:可以通过较为详细的内容来分析;盲注概述:在sql注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或者尝试,这个过程称为盲注。盲注一般分为三种:布尔盲注:页面只返回对或者错,存在或者不存在来判断基于时间的盲注:通过页面沉睡时间来判断报错的盲注:输入特定的语句使页面报
转载
2023-11-23 13:10:15
11阅读
布尔盲注基础知识布尔盲注利用前提:页面没有显示位,没有输出SQL语句执行错误,只能通过页面返回正常不正常来判断是否存在注入。布尔盲注常用的一些函数及语句常用函数substr(string, a, b)
#a表示初始位置,b表示截取的个数,从1开始计数
length(string)
#返回string的长度
ascii(s)
#返回字符的ascii值
count(column_name)
#返回指定
# SQL盲注:CTF中的一种常见攻击方式
在网络安全的世界里,各种类型的攻击方式随处可见。其中,“SQL注入”是一种常见而又危险的攻击手段。在CTF(Capture The Flag)竞赛中,SQL注入又会被细分为多种类型,其中“盲注”是一种特别重要的技术。本文将详细介绍什么是SQL盲注、如何利用Python脚本进行盲注,并提供相关代码示例。
## 什么是SQL盲注?
SQL盲注(Blin
# MySQL 只修改字段备注脚本
## 引言
MySQL 是一种常用的关系型数据库管理系统,广泛应用于各个领域。在实际开发过程中,我们经常需要修改数据库中的字段备注,以增加代码可读性和维护性。本文将介绍如何使用脚本来修改 MySQL 数据库中字段的备注信息,并提供相应的代码示例。同时,为了更好地展示整个过程,我们将使用甘特图和序列图来辅助说明。
## 1. 需求分析
在开始编写脚本之前,
原创
2023-09-10 13:00:23
163阅读
