Neodvolatelné menu php. Návod k použití jSQL Injection, multifunkčního nástroje pro hledání a využívání SQL injection v Kali Linuxu. Zápis vícerozměrného pole
Právě na to se nyní podíváme. A tak je úkolem udělat vertikální menu ve formě rozbalovacího seznamu.
Jak to lze implementovat v PHP? Velmi jednoduché! Máme například soubor index.php, která by v závislosti na vybrané sekci v rozevíracím seznamu měla zobrazovat odpovídající obsah na stránce. To je implementováno následovně:
1. Vytváříme soubory ve formátu .html, které budou obsahovat obsah nezbytný pro výstup.
2. Vytvořte (zapište) index.php ve skriptu potřebné podmínky pro zobrazení relevantních informací.
3. Vytvořený skript posuzujeme z hlediska bezpečnosti spouštěného skriptu.
No, zdá se, že jsme s teorií skončili, přejděme k praxi. Nejprve si vytvoříme statické stránky ve formátu .html, které budou obsahovat nezbytné informace. Můžete si tam psát, co chcete :) Ve výsledku bychom měli skončit alespoň se dvěma soubory first.html a second.html , takže si jich můžeme vytvořit tolik, kolik chceme, jakmile pochopíme základní algoritmus jak kód funguje.
Zobrazení rozevíracího seznamu v souboru index.php vytvořte html formulář a napište níže PHP skript s následujícím obsahem:
Rozbalovací nabídka v PHP
if (isset ($_GET ["kde" ]))
{
if ($_GET ["kde" ]==1 )
$soubor = "prvni.html" ;
if ($_GET ["kde" ]==2 )
$soubor = "druhy.html" ;
include($soubor);
}
?>
Nyní je připraven kód pro rozbalovací nabídku a nejzajímavější je, že bude fungovat normálně, ale z hlediska zabezpečení je zranitelný.
Slabinou tohoto skriptu je proměnná $soubor zůstane neinicializován a v tomto případě hodnota automaticky vytvořené proměnné přejde přímo do funkce zahrnout a ona ji (proměnnou) úspěšně propojí a zobrazí na obrazovce. A nemusí to být jen konfigurační soubor .htaccess. K hacknutí tohoto skriptu stačí předat parametru where hodnotu, kterou kód neposkytuje, například 3. A protože tuto hodnotu skript neposkytuje, je to pouze proměnná $soubor neprojde inicializací. Proto mu může být přidělena libovolná hodnota prostřednictvím řetězce URL.
http://localhost/index.php?where=3&file=.htaccessAle je to tak, mírná odbočka od tématu. 😀
Řešení tohoto problému je vcelku jednoduché, variabilní $soubor stačí jej před použitím inicializovat, tj. přiřadit mu výchozí hodnotu.
Zde platí, že pokud je skriptu předán parametr where, pak bude proměnná správně inicializována, jinak bude jednoduše prázdná. Takto dopadla roletka [bezpečné] v PHP.
P.S. Při tvorbě scénářů je nutné vzít v úvahu a patřičně vyloučit všechny možné vektory útoku. Jedině tak vznikne projekt, který bude splňovat bezpečnostní pravidla a bude zákazníkem žádaný. Uvidíme se znova!
23. dubna 2017V předchozích lekcích jsme se podívali na příklady toho, co jsou pole. V tomto tutoriálu použijeme pole v praxi k vytvoření menu na webu.
Proč jsou pohodlnější než běžné HTML tagy?
Řekněme, že náš web má 100 stránek, z nichž každá má stejné menu. A najednou jsme potřebovali změnit položky menu. Pouze pomocí HTML budeme muset provést úpravy na 100 stránkách webu, což je hodně. V takových situacích nám tedy vychází vstříc PHP. Bude stačit změnit položky nabídky pouze jednou v jednom souboru.
Teď pojďme.
Na lokálním hostingu ve složce “ domény” vytvořte složku s názvem „ pole- Jídelní lístek. místní”.
V této složce vytvoříme čtyři soubory: index. php, o. php, Kontakt. php A Jídelní lístek. php.
!!! Syntaxe souboru by měla býtPHP.
Do souboru index.php napíšeme jednoduchý HTML framework.
charset="utf-8" >
Domov
zahrnout("menu.php" );
?>
Zkopírujte tento kód do souborů about.php a contact.php. V tagu měníme pouze názvy stránek
.
Píšeme kód pro menu.
V souboru menu.php napsat asociativní pole.
$menu = pole (
"index "=> "index.php",
"o" => "about.php",
"kontakty" => "kontakt.php"
);
?>
Níže píšeme menu pomocí HTML tagů.
V prohlížeči uvidíme běžné menu ve formě seznamu.
Kliknutím na libovolnou položku nabídky přejdeme na odpovídající stránku a nabídka bude na všech stránkách.
Nyní si úkol zkomplikujeme. Vše smažeme ze souboru menu.php A...
Píšeme vícerozměrné pole.
$menu = pole (
pole("odkaz" => "Domů", "href"=> "index.php"),
pole("odkaz" => "O nás", "href"=> "o.php"),
pole("odkaz" => "Kontakty", "href"=> "kontakt.php")
);
?>
A v poslední fázi...
Kreslení menu pomocí smyčky pro každého.
Odstranění seznamu ze souboru menu.php
- a místo toho napište následující kód.
- ($item) " ;
- Budeme potřebovat proměnné a jeden podmíněný operátor:
- Vymysleli jsme podmínku, ale tak kontrolní proměnná – musíte se na to zeptat.
- ".$menu_name." ";
- čtení souborů na serveru
- nahrávání nových souborů na server
- nahrání shellů na server
echo"
- "
;
pro každého($menu tak jako$položka)(
echo "
}
V prohlížeči uvidíme stejný výsledek.
Chcete-li změnit položky nabídky, stačí je změnit v souboru menu.php jen jednou.
Pokud vás zajímá odpověď na otázku, jak vytvořit menu webu, pak jste na správné adrese.
Podíváme se na vytvoření dynamického menu v PHP, napsaného speciálně pro programování figurín, stejně jako pro ty, kteří jsou stále v nádrži.
Lekce 3. Tvorba menu v php pro dynamický web - pro figuríny
Pojďme vytvořit budoucí vzhled našeho webu. Za tímto účelem nakreslíme super krásný web ve Photoshopu a rozřežeme ho na kousky. Představme si, že záhlaví, logo, menu a zápatí nejsou psány slovy, jako v tomto příkladu, ale jedná se o elegantně a barevně navržené prvky webu.
Vytvořme si například tři stránky a nazvěme je Sekce 1, Sekce 2, Sekce 3
Tento text se bude na různých stránkách lišit, ale nebudeme se s tím obtěžovat a ponecháme jej tak, jak je na všech stránkách.
Začneme vytvářet web v PHP.
1. Vyberte bloky záhlaví, loga, nabídky, zápatí do samostatných souborů s příponou php nebo html
header.html
logo.html
menu.html
zápatí.html
Přidejme soubor s tímto textem, abychom jej viděli na všech stránkách. Zavolejme mu text.html
Poznámka. Od této chvíle budu další záznamy vést přímo v kartotéce. text.html
2. Vytvořme si šablonu pro náš web v PHP.
K tomu uděláme jednoduchou věc – uložíme skutečný soubor, ale s příponou php a smažeme veškerý textový obsah. Sice to není odborné, ale dá se to pochopit, ale vše si zkomplikujeme později. Nyní je hlavní věcí pochopit princip rozvržení.
3. Nyní nepotřebujeme soubor template.html.
Díky němu máme představu, jak náš web bude vypadat.
4. Naší šablonou je soubor template.php
Nyní do něj vložíme všechny prvky webu pomocí příkazu include.
5. Vytvořme tři stránky, jak jsme to původně chtěli udělat.
Sekce 1, zavolejme 1.php
Sekce 2, zavolejme 2.php
Sekce 3, zavolejme 3.php
K tomu můžete použít nejjednodušší příkaz uložit jako...
Dovolte mi vysvětlit pro nejmenší: otevřete soubor šablona.php a poté stiskněte uložit jako... a uložte jej pod jménem 1.php, opakujte postup a uložte stránky webu postupně 2.php, 3.php
Skončili jsme se 3 stránkami se stejným designem. Stačí jej vložit místo souboru text.html další, doplnit o různé obrázky nebo nějaké html kódy, skripty a obsah každé stránky bude jedinečný.
Pozornost!
Pokud soubor není vytvořen index.php pro hlavní stránku pak v prohlížeči zadáním adresy webu neuvidíme samotný web, ale pouze adresářovou strukturu (seznam složek).
Můžete se podívat do Denveru a přesvědčit se sami. Pojďme situaci napravit – vytvořte soubor index.php a zavoláme bez dalších řečí Domov. Zároveň vytvoříme soubor text-home.html a pomocí příkazu zahrnout vložte jej na nově vytvořenou hlavní stránku webu.
6. Jak zobrazit web v php?
Prostě neuvidíme, co se stalo. Toto již není šablona s příponou html.
Ale taky to není problém. Potřebujeme vlastní, tzn. lokální server na vašem počítači. Za tímto účelem si nainstalujeme Denver a podíváme se na výsledek naší práce v prohlížeči, aniž bychom museli být online.
Teď je to pořadí. Zadal jsem adresu webu a viděl jsem vše, co bylo právě vytvořeno, v normální podobě s designem.
Nyní se podívejme na nabídku PHP stránek.
1. Otevřete soubor menu.html a přeměňte části 1, 2 a 3 na odkazy na webu. Odkazy v PHP se vytvářejí různými způsoby.
Naším úkolem je naučit se cítit stránku vytvořenou v PHP. Proto uděláme odkazy jako na běžném statickém webu Sekce 1 atd.
Absolutně miluji tento proces vytváření odkazů v Macromedia Dreamweaver. Mít čas sklízet OK a pít kávu.
2. Jak učinit odkaz v menu neaktivním, pokud je návštěvník na této stránce.
Pro návštěvníka bude pohodlnější pohybovat se po webu s vědomím, na které stránce se nachází.
Pokud jste postupovali přesně podle všech kroků bod po bodu, uvidíte, že všechny odkazy v nabídce jsou vždy aktivní. jak to opravit?
Nejprve si připomeňme definici toho, co to je Podmíněné výroky
– to je, když je nebo není provedena nějaká akce v závislosti na podmínkách.
Udělejme následující:
if ($master == "Hlavní")// tato podmínka. Pokud je spuštěn, pak se na toto místo nabídky pomocí příkazu echo vloží běžné HTML značky, které zobrazují nápis „Home“.
echo"
Domov
";jiný// znamená „jinak“ - co se stane, když podmínka nebude splněna. V tomto případě, pokud podmínka není splněna, bude nápis „Domů“ odkazem vedoucím na hlavní stránku.
echo"
Domov
";Za tímto účelem umístíme na všechny stránky následující bloky kódu:
$master = "Hlavní";
$master = "Sekce 1";
$master = "Sekce 2";
$master = "Sekce 3";
Jak vidíte, každá stránka má svůj vlastní kód.
Takže naše praktické kroky pro vytvoření nabídky PHP budou následující:
1) Otevření souboru index.php
a vložte kód
$master = "Hlavní";
na místo, kam vložíte kód, který zobrazí samotnou nabídku webu zahrnout "menu.html";
?>
2) Otevření souboru menu.html a vložte kód s podmínkou místo jednoduchého html odkazu na hlavní stránku.
Díváme se do prohlížeče a obdivujeme! Pokud přejdeme na hlavní stránku, odkaz již není aktivní!
3) Opakujte body 1 a 2 se stránkami 1.php, 2.php, 3.php
Opakování 1:
1) Otevřete soubor 1.php a vložte před kód, který zobrazuje blok nabídky s danou proměnnou
$master = "Sekce 1";
2) Otevřete soubor menu.html a místo jednoduchého odkazu vložte kód s podmínkou Sekce 1, provádějící následující změny:
if ($master == "Sekce 1")// tato podmínka. Pokud je spuštěn, pak se na toto místo nabídky pomocí příkazu echo vloží běžné HTML značky, které zobrazují nápis „Section 1“.
echo"
Sekce 1
";jiný// znamená „jinak“ - co se stane, když podmínka nebude splněna. V tomto případě, není-li podmínka splněna, bude nápis „Sekce 1“ odkazem vedoucím na hlavní stránku.
echo"
Sekce 1
";Zázrak se stal znovu! Nyní, pokud jsme na stránce Sekce 1, odkaz v menu není aktivní.
Opakování je matka učení! Nebo pro ty v nádrži! Znovu
Opakování 2
1) Otevřete soubor 2.php a vložte kód.
$master = "Sekce 2";
2) Znovu otevřete soubor menu.html a vložte kód s podmínkou
if ($master == "Sekce 2")// tato podmínka. Pokud je spuštěn, pak se na toto místo nabídky pomocí příkazu echo vloží běžné HTML značky, které zobrazují nápis „Section 2“.
echo"
Sekce 2
";jiný// znamená „jinak“ - co se stane, když podmínka nebude splněna. V tomto případě, není-li podmínka splněna, bude nápis „Sekce 2“ odkazem vedoucím na hlavní stránku.
echo"
Sekce 2
";Opakování 3
1) Otevírací soubor 3.php a nastavte proměnnou.
$master = "Sekce 3";
2) Do souboru menu.html vložíme místo odkazu kód s podmínkou Sekce 3, změny jsou:
if ($master == "Sekce 3")// tato podmínka. Pokud je spuštěn, pak se na toto místo nabídky pomocí příkazu echo vloží běžné HTML značky, které zobrazují nápis „Section 3“.
echo"
Sekce 3
";jiný// znamená „jinak“ - co se stane, když podmínka nebude splněna. V tomto případě, není-li podmínka splněna, bude nápis „Sekce 3“ odkazem vedoucím na hlavní stránku.
echo"
Sekce 3
";Sečteno a podtrženo: místo odkazů v tomto typu nabídky
Domov
Sekce 1
Sekce 2
Sekce 3
Tato lekce o php byla napsána v reakci na četné požadavky návštěvníků webu a je praktickým průvodcem, jak se naučit vytvořit dynamické menu pro web v php.
Další webmasterův cheat sheet vám řekne, jak vytvořit jedinečné názvy, popisy a klíčová slova pro každou stránku v PHP.
Můžete si stáhnout archiv se všemi šablonami webu a soubory php menu. Doporučeno pro začátečníky v programování.
Pokud jste připraveni vážně studovat PHP, pak je těžké najít lepší video kurz od Popova. Má spoustu zkušeností a dobrý styl.
]]> ]]>
Nabídka stránek v PHP, která je řízena PHP skripty, má své vlastní charakteristiky. Nejedná se pouze o absolutní nebo relativní odkazy, i když to tak může být, ale zpravidla o dynamicky generované bloky odkazů v bočních panelech se sekcemi a podsekcemi a bloky odkazů ze samotných interních stránek webu. Dynamicky generované menu je velmi pohodlné, protože jej lze vložit kamkoli na stránku a hlavně ve správný čas. To znamená, že při přesunu do různých sekcí a podsekcí můžete dynamicky rozbalovat různé bloky nabídky. Navíc se mohou lišit nejen obsahem, ale i formou a designem. Na statickém webu je také docela možné dělat takové triky, ale bude to stát další soubory šablon a spoustu dalších triků. Zatímco web napsaný v PHP nic z toho nevyžaduje. Šablona zůstane tak, jak byla. Vše bude řízeno jedním nebo více jednoduchými PHP skripty.
Abychom to ověřili, stačí napsat PHP skript pro dynamické vygenerování menu, například první kategorie a donutit jej rozšířit nabídku této kategorie pomocí dříve napsaného skriptu. Zbývající nadpisy lze vytvořit podobným způsobem. Navíc samotný kód skriptu zůstane prakticky nezměněn. Změní se pouze textový soubor, který určí názvy odkazů a odkazy samotné. Kód takového skriptu je uveden níže.
// Tvůrce menu
$menu = @file($rubrika1_menu);
$lines = count($menu);
pro ($i = 0; $i< $lines; $i++)
{
list($menu_link,$menu_name,$menu_title)=explode("::", $menu[$i]);
if($page == rub1_part1 a $i == 0) ($refcolor = "style="color:#cc0000"";)
elseif($page == rub1_part2 a $i == 1) ($refcolor = "style="color:#cc0000"";)
elseif($page == rub1_part3 a $i == 2) ($refcolor = "style="color:#cc0000"";)
else ($refcolor = "";)
$rubric1.="
}
?>
Aby takový skript fungoval, potřebujete textový soubor, ve kterém budou uloženy názvy odkazů menu, samotné odkazy a jejich název. Vytvoření takového souboru není obtížné, stačí spustit příkaz Soubor -> Nový z hlavní nabídky programu Dreamweaver, vytvořit nový html dokument, jak bylo popsáno dříve, zkontrolovat a případně změnit kódování nového souboru na UTF -8 a poté jej uložte pod názvem rubric1.dat do dříve vytvořené datové složky. Úplná cesta k tomuto souboru bude D:/Mysitephp/data/rubric1.dat. Obsahem níže uvedeného souboru jsou samotné odkazy, jejich názvy a jejich název (tipy). Pro zprovoznění tohoto skriptu je navíc nutné jej připojit pomocí funkce zahrnout() v šabloně main.php.
Rub1_part1::Sekce 1::Sekce 1 rubrika 1::
rub1_část2::Oddíl 2::Oddíl 2 rubrika 1::
rub1_část 3::Oddíl 3::Oddíl 3 rubrika 1::
Kromě toho je také potřeba vytvořit malý skript s nastavením, který bude ukládat úplnou adresu webu, cesty ke složkám stránek a meta popisy webu, cesty k souborům menu webu a propojit jej pomocí funkce zahrnout() v šabloně main.php. Chcete-li to provést, musíte vytvořit nový soubor php a uložit jej pod názvem, například settings.php do složky php. Úplná cesta k souboru bude D:/Mysitephp/php/settings.php a její obsah je uveden níže.
# složka s html dokumenty
$doctemplates = "šablony";
# úplná cesta k adresáři skriptu
$turl="http://mysitephp.ru";
# databáze s daty
$rubric1_menu = "data/rubric1.dat";
?>
Jak funguje PHP skript pro tvorbu menu? Nejprve do proměnné $menu pomocí funkce soubor() Je umístěn obsah textového souboru rubric1.dat. Pak funkce počet() počítá počet řádků v textovém souboru a funkcí seznam() A explodovat() samotné menu se rozšiřuje ve smyčce, kde je způsob slepování čar (operace tečka . ) tvoří se řádky odkazů s jejich jmény a názvy, které se pak umístí do proměnné $rubric1. Další je skript šablony, kde je funkce propojena s menu skriptem zahrnout(), přesune obsah proměnné $rubric1 na požadované místo na webu pomocí dříve popsané funkce repl().
Takové menu zatím nebude fungovat, protože obsahuje pouze samotné odkazy se všemi potřebnými atributy, ale chybí skript, který by zajistil přechod na tyto odkazy a otevření stránek webu, které budou těmto odkazům odpovídat. Tímto PHP skriptem se budeme zabývat dále.
Dále můžete projekt aktualizovat pomocí skriptu pro generování nabídky. Aktualizovaný projekt si také můžete stáhnout na stránce, která se otevře po registraci a aktivaci bezplatného předplatného v panelu vpravo. Adresa stránky musí být uložena. Právě na této stránce se v budoucnu objeví odkazy na stažení aktualizací projektu, různé užitečné skripty, programy, lekce a videonávody k návrhu obvodů, programování a tvorbě webových stránek. pro nováčky.
Stažený projekt php stránky aktualizovaný o nové skripty lze nyní porovnat s tím, co se stalo v důsledku výše popsaných kroků. Dále, aby se odstranily nesrovnalosti, bylo by užitečné úplně nahradit projekt staženým, provést operaci, spustit server Denwer, zadat do okna prohlížeče mysitephp.ru a podívat se, co z toho vypadne. Nabídka první sekce by se měla rozbalit v levé horní části šablony, jak je znázorněno na obrázku níže.
Jděte a zaplujte do své oblíbené sociální sítě
Spusťte stažený soubor dvojitým kliknutím (musíte mít virtuální stroj).
3. Anonymita při kontrole místa pro SQL injection
Nastavení Tor a Privoxy v Kali Linuxu
[Sekce ve vývoji]
Nastavení Tor a Privoxy ve Windows
[Sekce ve vývoji]
Nastavení proxy v jSQL Injection
[Sekce ve vývoji]
4. Kontrola místa pro SQL injection pomocí jSQL Injection
Práce s programem je velmi jednoduchá. Stačí zadat adresu webu a stisknout ENTER.
Následující snímek obrazovky ukazuje, že web je zranitelný vůči třem typům injekcí SQL (informace o nich jsou uvedeny v pravém dolním rohu). Kliknutím na názvy injekcí můžete přepnout použitou metodu:
Také se nám již zobrazily stávající databáze.
Obsah každé tabulky si můžete prohlédnout:
Nejzajímavější věcí na tabulkách jsou obvykle přihlašovací údaje správce.
Pokud budete mít štěstí a data administrátora najdete, pak je ještě brzy na radost. Ještě musíte najít admin panel, kam tyto údaje zadat.
5. Hledejte administrátorské panely pomocí jSQL Injection
Chcete-li to provést, přejděte na další kartu. Zde nás přivítá seznam možných adres. Pro kontrolu můžete vybrat jednu nebo více stránek:
Pohodlí spočívá v tom, že nemusíte používat další programy.
Bohužel není příliš mnoho neopatrných programátorů, kteří ukládají hesla v čistém textu. Dost často v řádku s hesly vidíme něco podobného
8743b52063cd84097a65d1633f5c74f5
Toto je hash. Můžete jej dešifrovat pomocí hrubé síly. A... jSQL Injection má vestavěný brute force.
6. Hrubá síla hash pomocí jSQL Injection
Nespornou výhodou je, že nemusíte hledat další programy. Existuje podpora mnoha nejoblíbenějších hashů.
To není nejlepší možnost. Abyste se stali guru v dekódování hashů, doporučujeme knihu „“ v ruštině.
Ale samozřejmě, když není po ruce jiný program nebo není čas na studium, velmi vhod přijde jSQL Injection s vestavěnou funkcí brute force.
Existují nastavení: můžete nastavit, které znaky jsou součástí hesla, rozsah délky hesla.
7. Operace se soubory po detekci SQL injekcí
Kromě operací s databázemi - jejich čtení a úpravy, pokud jsou detekovány injekce SQL, lze provádět následující operace se soubory:
A to vše je implementováno v jSQL Injection!
Existují omezení - SQL server musí mít oprávnění k souboru. Správci chytrého systému je zakázali a nebudou moci získat přístup k systému souborů.
Přítomnost oprávnění k souborům lze snadno zkontrolovat. Přejděte na jednu ze záložek (čtení souborů, vytvoření shellu, nahrání nového souboru) a pokuste se provést jednu ze zadaných operací.
Ještě velmi důležitá poznámka – musíme znát přesnou absolutní cestu k souboru, se kterým budeme pracovat – jinak nebude fungovat nic.
Podívejte se na následující snímek obrazovky:
Na jakýkoli pokus o operaci se souborem obdržíme následující odpověď: Žádné oprávnění FILE(žádná oprávnění k souboru). A tady se nedá nic dělat.
Pokud místo toho máte jinou chybu:
Problém se zápisem do [název_adresáře]
To znamená, že jste nesprávně zadali absolutní cestu, kam chcete soubor zapsat.
Abyste mohli uhodnout absolutní cestu, musíte alespoň znát operační systém, na kterém server běží. Chcete-li to provést, přejděte na kartu Síť.
Takový záznam (řádek Win64) nám dává důvod předpokládat, že máme co do činění s OS Windows:
Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Připojení: Keep-Alive Metoda: HTTP/1.1 200 OK Obsah-Length: 353 Datum: Pá, 11. prosince 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; znaková sada=UTF-8
Zde máme nějaký Unix (*BSD, Linux):
Transfer-Encoding: chunked Date: Fri, 11 Dec 2015 11:57:02 GMT Method: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Connection: keep-alive Content-Type: text/html X- Běží na: PHP/5.3.29 Server: Apache/2.2.31 (Unix)
A tady máme CentOS:
Metoda: HTTP/1.1 200 OK Platnost: Čt, 19. listopadu 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Připojení: keep-alive X-Cache-Lookup: MISS z t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS z t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Datum: pá, 11. prosince 2015 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; znaková sada=WINDOWS-1251
V systému Windows je typická složka pro weby C:\Server\data\htdocs\. Ale ve skutečnosti, pokud někdo „uvažoval“ o vytvoření serveru na Windows, pak tato osoba velmi pravděpodobně neslyšel nic o privilegiích. Proto byste měli začít zkoušet přímo z adresáře C:/Windows/:
Jak vidíte, napoprvé vše proběhlo v pořádku.
Ale samotné shelly jSQL Injection vzbuzují v mé mysli pochybnosti. Pokud máte oprávnění k souborům, můžete snadno něco nahrát pomocí webového rozhraní.
8. Hromadná kontrola stránek pro SQL injekce
A dokonce i tato funkce je dostupná v jSQL Injection. Vše je velmi jednoduché - stáhněte si seznam stránek (můžete importovat ze souboru), vyberte ty, které chcete zkontrolovat, a kliknutím na příslušné tlačítko spusťte operaci.
Závěr z jSQL Injection
jSQL Injection je dobrý, výkonný nástroj pro vyhledávání a následné použití SQL injection nalezených na webových stránkách. Jeho nesporné výhody: snadné použití, vestavěné související funkce. jSQL Injection může být nejlepším přítelem začátečníka při analýze webových stránek.
Mezi nedostatky bych poznamenal nemožnost editace databází (alespoň jsem tuto funkcionalitu nenašel). Jako u všech nástrojů GUI lze jednu z nevýhod tohoto programu připsat jeho nemožnosti použití ve skriptech. Přesto je i v tomto programu možná určitá automatizace – díky vestavěné funkci hromadné kontroly stránek.
Program jSQL Injection je mnohem pohodlnější než sqlmap. Ale sqlmap podporuje více typů SQL injekcí, má možnosti pro práci se souborovými firewally a některé další funkce.
Sečteno a podtrženo: jSQL Injection je nejlepší přítel začínajícího hackera.
Nápovědu k tomuto programu v Kali Linux Encyklopedie naleznete na této stránce: http://kali.tools/?p=706
