SQL Injections(LOW)

分析

这一关是一个输入框，存在一个可控变量id，输入id回显first name以及surname

注入点分析

环境：

攻击机：Kali Linux

受害机：Windows 7

什么是 Metasploit

    这是一个免费的、开源的渗透测试框架，由 H.D.Moore 在 2003 年发布，后来被 Rapid7 收购。Metasploit 核心中绝大部分有 Rudy 实现，一小部分由汇编和C语言实现。

注入原理

sql注入是指web应用程序对用户输入数据的合法性没有进行判断或者过滤不严，导致攻击者可以构造恶意语句，获取数据库中的数据，在一定条件下甚至可以拿到shell

前提

mysql5.0以上存在一个自带的数据库名为 information__schema ,是一个存储纪录了所有数据库名、表名、列名的数据库，也相当于可以从这里查询指定数据库下面的表名和列名的信息，这是因为在数据库中”.”表示下一级。例如：books.book 表示 books 数据库下面的book 表名

1
2
3
4
5
6
7

information_schema.schemata：纪录所有数据库的表
information_schema.tables：纪录所有表名的表
information_schema.columns；纪录所有列名的表
相当于变量：
table_name:表名
column_name:列名
table_schema:数据库名

环境：

攻击机：Kali Linux

受害机：Windows 7

什么是 Metasploit

    这是一个免费的、开源的渗透测试框架，由 H.D.Moore 在 2003 年发布，后来被 Rapid7 收购。Metasploit 核心中绝大部分有 Rudy 实现，一小部分由汇编和C语言实现。

代价函数（Cost Function）在机器学习中的每一种算法中都很重要，因为训练模型的过程就是优化代价函数的过程，代价函数对每个参数的偏导数就是梯度下降中提到的梯度，防止过拟合时添加的正则化项也是加在代价函数后面的

        概况来讲，任何能够衡量模型预测出来的值h(θ)与真实值y之间的差异的函数都可以叫做代价函数J(θ)。

        代价函数就是用于找到最优解的目的函数，这也是代价函数的作用。

问题复现

系统环境：IDEA 2021.2，Tomcat 10

在IDEA中配置好Servlet文件路径，项目结构如下：

Tomcat配置如下：

以ch07_8_tijiao.jsp为例，运行后第一个界面显示正常

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

Quick Start

Create a new post

1

$ hexo new "My New Post"

More info: Writing