jother编码
javascript用 ! [] + - * 表示0~1000的数字
编码长度不超过75个字符
+![]
+!![]
很有特征的,jother编码,一堆括号。可以在线解码,不过为了离线考试,在chrome浏览器,F12,有一个console(控制台),粘贴全部代码,回车,弹出key。
SQL注入原理-手工注入access数据库
1.理解SQL注入的原理
2.学习手工注入的过程
所谓SQL注入,就是通过把SQL命令插入到Web表单提交,或者,输入域名或页面请求的查询字符串,最终达到执行恶意命令。
首先,在以【.asp?id = 32(数字任意)】结尾的链接依次添加语句【’】,【and 1=1】,【and 1=2】,来判断网站是否存在注入点。分别显示错对错,则说明该网站存在注入漏洞
然后,添加语句【and exists(select *from admin)】,根据页面返回结果来猜解表名。页面正常显示,说明存在表名【admin】
再次,添加语句【and exists(select admin from admin)】,来猜解admin表中的列名admin。页面显示正常,说明在表中存在admin列
同样的方法,在链接末尾添加【and exists(select password from admin