准备工作

• 路由器型号：MIR3（没有硬改扩容版本！扩容了的不适合此版本固件！）
• 已刷固件系统：padavan (H大维护版本)
• 改刷固件系统：pandora (原版潘多拉)

用到的文件

① pb-boot 文件

• 漏洞类型：GET - Error based - intiger based
• 目标网址（本地靶场）：http://www.sqllib.com/less-2/?id=
• 目标：获取网站用户的邮箱

① 判断接受的参数类型

单引号测试

1

id=1'

报错

check the manual that corresponds to your MySQL server version for the right syntax to use near ’’ LIMIT 0,1’ at line 1

• 漏洞类型：GET型 - 基于报错 - 单引号 - 字符型注入
• 目标网址（本地靶场）：http://www.sqllib.com/less-1/?id=
• 目标：获取网站用户的邮箱

① 访问网址，测试是否存在SQL注入

正常访问

http://www.sqllib.com/less-1/?id=1

前言

刚开始写博客的时候，图片不是很多，网站响应速度还能接受

随着文章越来越多，图片也多了起来，网站的响应速度开始令人捉急

在线压缩图片网站有很多，但是有时候需要压缩大量图片的时候，就不如本地压缩方便了

• 漏洞类型：SQL注入/Get 字符型

• 安全级别：Low

• 目标：通过注入SQL语句，获取 MySql 数据库存放的用户名和密码

• 页面URL：http://www.dvwa.com/vulnerabilities/sqli/?id=1（本地搭建的靶场）

前言

拿着 SQLmap 一把梭，结果就是实战中常常被 ban ip.

奈何还没搞定自己的 ip 代理池… …

所以手工注入还是要掌握的

这里只是列出了知识点，没有详尽举例

接下来的关于MySql注入学习笔记中，都会用到

场景

现在手头有这样的一个任务：

• 一个文本文件内，每一行有一串 16进制 数字，一共有577行；
• 某程序会用到这些16进制数字，但是只能一次从一个文本文件中，读取100行，才能保证稳定和效率；
• 保证数据没有重复，并且按照降序排列；
• 所以，我们需要把这些数字，分组放置到多个个文件中去，这样程序才能正确的处理；

要处理的577行数据

昨天学到 os 模块中的两个函数
可以用来检查，使用的文件是否存在于当前路径，以及是否有读取权限
简要介绍用法，详细请参考python官方文档
如有错误，欢迎指出。
本人还是新手，望大佬包涵~

尝试读取car.txt，内容是中文，结果报错了

1
2
3
4
5

Traceback (most recent call last):
  File "fix.py", line 12, in <module>
    for each_line in car.readlines():
UnicodeDecodeError: 'gbk' codec can't decode byte 0xa1 in position 4: illegal mu
ltibyte sequence

问题代码

1
2
3
4
5
6

cars = open(r".\car.txt")
for each_line in cars.readlines():
	print(each_line)
print("完成！")

cars.close()

解决方法

• open函数可选参数

1

open(file, mode='r', buffering=-1, encoding=None, errors=None, newline=None, closefd=True, opener=None)

• 根据报错，中文编码是“gbk”
• 所以，要把encoding参数设置为“utf-8”,才能正确处理中文文本。
• 以防万一，errors参数，设置为“ignore”， 忽略报错&警告（一般不用）

1

car = open(r".\car.txt", encoding='utf-8', errors='ignore')

ok，可以正确处理有中文的文件了。

概述

处理电脑的日常事务，免不了要和文件夹（或者说工作目录）打交道 好在python提供的内置模块：os，提供许多便利的操作 今天学习了该模块内的 os.walk() 方法，用于遍历所选文件夹内所有子文件夹， 以及，每一个文件夹内所包含的文件。