一, sqlmap解决盲注。
1, sqlmap使用python编写,使用前要先安装python环境。
2, 安装sqlmap工具,在官网下载zip安装包。
3, 解压完毕后,再地址栏搜索cmd并回车,打开命令行。
4, 在命令行内检验是否配置完毕。
5, 使用:python sqlmap -u url地址。
有可能报错,注入点未知,要将url写完整,例如,再url行内加‘? Id=1‘。
6, 搜索要找寻的数据,具体步骤与sql注入大同小异。
二,宽字节注入。
1, 小概率出现,是一种较为过时的技术,但在思路上没有过时。
2, 防治措施:魔术引号,再php中会自动判断解析用户提交的数据,若含有单,双引号,反斜杠等特殊字符,会在其前方添加转义字符‘\’使其失效。
3, 攻击方法:使用gpk编码(gpk编码相对于ASCII码来说为宽字节,ASCII码为单字节,gpk码使用两个字节代表一个汉字,可以在单字节前方添加一个单字节使其失效。)再恶意语句不可使用时,可以将其转化为16进制编码(将被卡住的语句转化为16进制)。
518
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
