最近,我得到了一个子域,可以尝试使用SQLi:gov.ns.agency进行攻击。与我在大多数教程中看到的不同,我不能像在其他地方看到的那样将参数注入URL。
以下是我尝试过的:
在登录页面上,任何用户名都有密码:' OR '1'='1和我被定向到机构/用户。在这里,表单返回用户是否存在。我应该从‘名称’和‘传递’从表‘用户’获得信息。还有一个提示是,MySQL是数据库,发送的请求是GET,而不是POST,除了一些返回500个内部服务器错误的查询之外。
'UNION ALL SELECT NULL,version()'--返回MySQL版本8.0
我目前正在使用Parrot OS xfce 4.10 amd64,我想在这个操作系统中安装一些工具。我尝试过apt-get install burpsuit,它的输出是:
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package burpsuit
请帮帮我..。
当我在bspwm会话中打开burpsu承包统一版时,burpsuite不使用整个屏幕空间。但是当我在一次伴侣会议中打开burpsuite的时候,它就变得很紧了。这是我的bspwmrc文件:
#!/bin/sh
WMNAME LG3D &
pgrep -x sxhkd > /dev/null || sxhkd &
bspc config pointer_modifier mod1
bspc monitor -d I II III IV V VI VII VIII IX X
bspc config border_width 2
bspc config w