乌云drops - 永久存档

SQLMAP进阶使用 – MayIKissYou

原文地址:http://drops.wooyun.org/tips/5254 0x00 背景 首先在drops上搜索下sqlmap相关的文章: sqlmap用户手册 sqlmap用户手册[续] sqlmap实例cookbook 使用sqlmap对网站和数据库进行sql注入攻击 使用sqlmap中tamper脚本绕过waf 介绍的比较全了,但是对于sqlmap的脚本扩展部分没有提及,例如…继续阅读 »
乌云drops - 永久存档

SQLMap的前世今生(Part1) – 猎豹科学院

原文地址:http://drops.wooyun.org/tips/8614 0x00 前言 谈到SQL注入,那麽第一时间就会想到神器SQLMAP,SQLMap是一款用来检测与利用的SQL注入开源工具。那麽SQLMap在扫描SQL的逻辑到底是怎样实现的呢,接下来就探讨下SQLMap的扫描逻辑,通过了解SQLMap的扫描逻辑打造一款属于自己的SQL扫描…继续阅读 »
乌云drops - 永久存档

SQLMAP的前世今生Part2 数据库指纹识别 – 猎豹科学院

原文地址:http://drops.wooyun.org/papers/10652 0x00 前言 谈到SQL注入,那麽第一时间就会想到神器SQLMAP,SQLMap是一款用来检测与利用的SQL注入开源工具。那麽SQLMap在扫描SQL的逻辑到底是怎样实现的呢,接下来就探讨下SQLMap的扫描逻辑,通过了解SQLMap的扫描逻辑打造一款属于自己的SQL扫…继续阅读 »
乌云drops - 永久存档

sqlmap用户手册[续] – 瞌睡龙

原文地址:http://drops.wooyun.org/tips/401 《sqlmap用户手册》其实只写了大部分可能用到的参数,还有些并未写,这次补上~ ps:其实看到zone里很多问sqlmap的问题在通读看完那篇文章后都能解决。可惜啊,现在的人通读看文章的耐心都没有了,遇到了哪个问题就想起针对这个问题求助,…继续阅读 »
乌云drops - 永久存档

sqlmap用户手册 – 瞌睡龙

原文地址:http://drops.wooyun.org/tips/143 http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数 2、判断可以用那种SQL注入技术来注入 3、识别出哪种数据库 4、根据用户选择,读取哪些数据 (更多…)
乌云drops - 永久存档

SQLMAP源码分析Part1:流程篇 – 3xpl0it

原文地址:http://drops.wooyun.org/tips/7301 0x00 概述 1.drops之前的文档 SQLMAP进阶使用介绍过SQLMAP的高级使用方法,网上也有几篇介绍过SQLMAP源码的文章曾是土木人,都写的非常好,建议大家都看一下。 2.我准备分几篇文章详细的介绍下SQLMAP的源码,让想了解的朋友们熟悉一下SQLMAP的原…继续阅读 »
乌云drops - 永久存档

sqlmap支持自动伪静态批量检测 – 路飞

原文地址:http://drops.wooyun.org/tools/15038 0x00 前言 由于还没有找到一款比较适合批量检测sql注入点的工具(proxy+sqlmapapi的方式批量检测之类的批量sql注入点检测),我的目光就转向了sqlmap。虽然sqlmap没有支持伪静态注入点的测试(需要手动添加注入标记),由于是python写的,可以快…继续阅读 »
乌云drops - 永久存档

SQLMAP 实例COOKBOOK – lxj616

原文地址:http://drops.wooyun.org/tips/1343 提醒:本文章中的所有例子均已通过乌云平台通知厂商,并按照流程已经公开(未公开的会有标识并且隐藏信息,请等待公开后自行查看),请在阅读文章的同时不要对文中所列漏洞重复测试,谢谢 0x00 概述 本文章面向 已经理解SQL注射基…继续阅读 »
乌云drops - 永久存档

SQL SERVER 2008安全配置 – zhangsan

原文地址:http://drops.wooyun.org/tips/1670 0x00 sql server 2008 权限介绍 在访问sql server 2008的过程中,大致验证流程如下图: (更多…)
乌云drops - 永久存档

SQL Injection via DNS – BMa

原文地址:http://drops.wooyun.org/tips/4605 原文:https://blog.skullsecurity.org/2014/plaidctf-writeup-for-web-300-whatscat-sql-injection-via-dns 建议先看:http://drops.wooyun.org/papers/3133 0x00 分析 Whatscat是一个可以上传猫咪的照片并且可以评论的php应用,地址: https://blogdata.skullsecurity.org/whatscat.tar.bz2 …继续阅读 »