zer0_c|imb's blog

常用查询语句

说实话本不打算写SQLmap的使用的，网上教程太多了，用烂了，都去用工具，
一到面试连个原理都不知道，仅供参考，多懂原理，少用工具，切记。

nosql(mongodb)数据库注入

一般查询语句 select * from users where id = $id

dnslog数据外带

使用情况，确定存在注入点，但返回数据无回显时，尝试使用此方法
外带平台 ：xip.io ceye.io

宽字节注入

了解魔术引号，magic_quotes_gpc
所有的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义

注入基础

1，注入原理：
当客户端提交的数据未作处理或转义直接带入数据库，就造成了sql注入。
攻击者通过构造不同的sql语句来实现对数据库的任意操作。

HID攻击原理

HID是Human Interface Device的缩写，由其名称可以了解HID设备是直接与人交互的设备。一般来讲针对HID的攻击主要集中在键盘鼠标上，因为只要控制了用户键盘，基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中，当用户将含有攻击向量的鼠标或键盘，插入电脑时，恶意代码会被加载并执行。简而言之，今天要介绍的Badusb利用的是虚拟键盘来实现恶意代码的执行。

题库传送门

https://www.ichunqiu.com/battalion

中文乱码

面向渗透测试人员的谷歌插件

翻译插件

非常适合英语不好的我，嘿嘿
谷歌插件直接搜"沙拉查词"