所謂延遲注入,即對於存在注入但沒有返回值而採取的延遲方式的一種注入手段。說通俗點就是當注入語句執行成功了,進入延遲等待狀態,執行失敗則沒有等待時間,系統就可以通過這乙個時間差來判斷注入結果。這也是在php中常用的注入方法,特別是面對一些噁心**的注入時屢試不爽。
不過這種方法也存在許多不足,經常會受到各種因素的影響導致成功率下降。我們知道md5中只要乙個字元猜解失敗,整個md5就報廢了,所以在此我來講一下如何提高延遲注入的成功率。
1.網速。這也是最重要的一項。這裡的網速指exp所在地網速和目標伺服器網速。我在做延遲注入測試時,分別把exp放在我的部落格(zyday.com,美國空間)伺服器和公司的100m光纖伺服器上,後者的成功率要遠遠大於前者。目標伺服器的網速我們無法改變,不過我們可以選擇深夜測試,這時伺服器壓力比較小,網速相對快一些。
2.延遲時間。在注入時,我們通過是否進入延遲來判斷注入結果,而實際上我們是無法避免因網路因素而導致伺服器響應時間過長甚至超時,當出現這中狀況是,我們會以為這是一次執行成功的注入,最後導致整個注入的失敗。唯一的解決方法就是增加延遲時間,至少3秒。設定的延遲時間越長,成功率越大。
3.次數。這是乙個小細節。我們不能保證成功率為100%,但我們可以多嘗試幾次,將結果進行對比,剔除錯誤字元,從而提高成功率。
以上幾條是我個人總結的一些觀點,說的不好請見諒,如果有錯誤歡迎各位大牛指出,謝謝。
怎樣提高資料恢復的成功率
在網際網路迅速發展的時代,我們身處大資料的環境下,資料其實是隨處可見的,資料丟失也不再是小概率的事件。也許你曾不小心刪除過學習資料,你的u盤因為故障不得不格式化,加班到深夜突然遇到斷電 這些事情其實隨時都有可能發生。很多人在資料丟失後,因為不清楚資料恢復的基本知識,隨意的一些操作很可能就使得丟失資料...
技術人員如何提高自己的面試成功率
1.最近面試了三個人,結果都不好。88年的z,離職狀態,看得出比較想要乙份工作,盡快安定下來,自我介紹的時候有點緊張甚至膽怯不自信,問了幾個問題都沒有回答到我想要的點上。畢業後的做的事情很雜,在先每個方向上都沒有太深入的積累。各方面能力很普通,直接pass。91年的l,在職狀態,只是試試看找一些新的...
看完此文,你的面試成功率可能會提高50
本文從自身的感受和經歷出發來解讀面試這件事情應該注意的事項,所以文章比較適合軟體開發工程師 技術經理 架構師等這樣的人群閱讀,如果你是行業翹楚 領域大拿 資深專家,那麼本文可能不太適合你,我怕班門弄斧,貽笑大方,徒增笑料。一 知已知彼,百戰不殆 這句話出自 孫子兵法 意思不言自明,大家可能也已經耳熟...