万能密码、宽字节注入和伪协议的知识补充

最新推荐文章于 2024-07-19 00:12:38 发布
最新推荐文章于 2024-07-19 00:12:38 发布
阅读量371 收藏 7
点赞数 10
文章标签: 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TID12/article/details/135230060
版权

万能密码
首先是万能密码,因为在解一道题的时候一直解不出来,后来问了才知道是用万能密码,对于这方面的掌握还不够所以来补充。

#数值型的万能密码
1 or true #

1 or 1 #

1 or 1=1 #

1 or true -- a

1 or 1 -- a

1 or 1=1 -- a

admin' #

admin' -- a
#一般#用于输入框注入,而--+用于url的注入
#如果是字符型就加上'或者"

宽字节注入
在学校比赛的时候碰到了一题,一直sql注不出来,后来知道是宽字节注入,去了解之后就觉得一眼就能看出来为什么是宽字节注入,如果输入框或者题目提示有可以输入中文或者汉字的时候就可以。
宽字节注入的原理:如果一个字符占一个字节就是窄字节,但是如果占了两个字节就是宽字节,原理就是在连接mysql的时候用的编码不一样,简单来说就是这样,但是如果要更具体请去看网上的大佬们。

1%df\' union select 1,char(97,100109105110),database()

这就是宽字节注入的payload,重点在前面的%df\上面,而后面的char(97,100,109,105,110)是如果这个位置的回显位有判断只能回显存在用户的化,就要用admin绕过,翻译过来就是admin。

PHP伪协议

php支持的伪协议

伪协议功能
file://访问本地文件系统(localhost可以是web服务器的根目录)
zip://压缩流
php://访问各个输入输出流
TID12
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
iOS开发细碎知识点总结一
逝水无情的博客
12-26 1005
稍后更新
jvm高级相关知识
热门推荐
u011533553的博客
11-08 1万+
二、字节码与类的加载篇 ​ (18-21章) 1、Class文件结构 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBGP4iXi-1636367653208)(D:\学习\吃饭的家伙\java\images\JVM中篇图示\中篇_第1章:JVM架构-简图.jpg)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uRyjyCxW-1636367653215)(D:\学习\吃饭的家伙\java\images\JVM中篇图示\中篇_第1章:JV
知识点汇总1
wwzzh1989的博客
04-14 881
Java面向对象有哪些特征,如何应用 面向对象编程是利用类和对象编程的一种思想。万物可归类,类是对于世界事物的高度抽象 ,不同的事物之间有不同的关系 ,一个类自身与外界的封装关系,一个父类和子类的继承关系, 一个类和多个类的多态关系。万物皆对象,对象是具体的世界事物,面向对象的三大特征封装,继承,多态。封装,封装说明一个类行为和属性与其他类的关系,低耦合,高内聚;继承是父类和子类的关系,多态说的是类与类的关系。 封装隐藏了类的内部实现机制,可以在不影响使用的情况下改变类的内部结构,同时也保护了数据。对
wuyun知识库目录
Grey的博客
01-15 7423
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
【基础1.0】自用整理JAVA面试基础知识
teavamc的博客
03-22 2569
鸣谢:感谢JavaGuide-master提供的复习蓝图 1. 面向对象和面向过程的区别 面向过程 优点: 性能比面向对象高,因为类调用时需要实例化,开销比较大,比较消耗资源;比如单片机、嵌入式开发、Linux/Unix等一般采用面向过程开发,性能是最重要的因素。 缺点: 没有面向对象易维护、易复用、易扩展 面向对象 优点: 易维护、易复用、易扩展,由于面向对象有封装、继承、多态性的特性,可以设计...
Java面试题目和答案
蜕变
03-09 1569
Java面向对象有哪些特征,如何应用 ​ 面向对象编程是利用类和对象编程的一种思想。万物可归类,类是对于世界事物的高度抽象 ,不同的事物之间有不同的关系 ,一个类自身与外界的封装关系,一个父类和子类的继承关系, 一个类和多个类的多态关系。万物皆对象,对象是具体的世界事物,面向对象的三大特征封装,继承,多态。封装,封装说明一个类行为和属性与其他类的关系,低耦合,高内聚;继承是父类和子类的关系,多态说的是类与类的关系。 ​ 封装隐藏了类的内部实现机制,可以在不影响使用的情况下改变类的内部结构,同时也保护了数
近年来的Java面试题汇总。帮你圆大厂梦。
igg08的博客
07-28 1215
近年来的面试八股文大全。快来卷你的室友
2024全网最全面及最新且最为详细的网络安全技巧四 之 sql注入以及mysql绕过技巧 (1)———— 作者:LJS
weixin_74796680的博客
06-23 649
攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系 统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后 台数据库乃至整个应用系统的入侵设置数据库字符为gbk导致宽字节注入使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入url解码导致绕过addslashesbase64解码导致绕过addslashesjson编码导致绕过addslashes没有使用引号保护字符串,直接无视addslashes。
计算机网络
努力学习,努力爱你!
10-05 1708
计算机网络(简称网络)把许多计算机连接在一起,而互联网把许多网络连接在一起,是网络的网络。小写字母 i 开头的 internet(互联网)是通用名词,它泛指由多个计算机网络相互连接而成的网络。在这些网络之间的通信协议(即通信规则)可以是任意的。大写字母 I 开头的 Internet(互联网)是专用名词,它指全球最大的,开放的,由众多网络相互连接而成的特定的互联网,并采用 TCP/IP 协议作为通信规则,其前身为 ARPANET。Internet 的推荐译名为因特网,现在一般流行称为互联网。
13 宽字节注入1
08-03
因此,数据库管理员必须采取相应的安全措施来防止宽字节注入攻击,例如使用输入验证、参数化查询语句和限制数据库权限等。 防止宽字节注入攻击的方法包括: 1. 使用输入验证:对用户输入的数据进行验证,防止恶意...
宽字节注入详解-附件资源
03-05
宽字节注入详解-附件资源
第十九节 字节SQL注入-01
09-15
字节SQL注入基础知识点总结 字节SQL注入是一种特殊类型的SQL注入攻击,主要针对使用字节字符集(如GBK、UTF-16等)的数据库管理系统。字节SQL注入攻击的关键在于exploit字节字符集的特性来 bypass 数据库...
网络安全 宽字节注入 CMS网站渗透实战 学术交流
12-05
web安全初学者,跟着公开课学习了一段时间,第一次在靶场环境下,边查询边过关,请教了不少人,对blueCMS系统存在的宽字节注入漏洞成功进入后台,找到后台文件编写路径,写入一句话木马,通过蚁剑连接成功后,开始提...
什么是C语言中的字符与多字节字符
01-19
 C95标准化了两种表示大型字符集的方法:字符(wide character,该字符集内每个字符使用相同的位长)以及多字节字符(multibyte character,每个字符可以是一到多个字节不等,而某个字节序列的字符值由字符串或流...
MySQL(事务、索引)&&MyBatis
最新发布
hycccccch的博客
07-19 458
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 201
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
Spring架之DI依赖注入
G81948577的博客
07-18 577
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
深入 Dify 源码,洞察 Dify RAG 核心机制
易迟的专栏
07-17 1117
之前深入源码对 Dify 的完整流程进行了解读,基本上梳理了 Dify 的实现流程与主要组件。但是在实际部署之后,发现 Dify 现有的 RAG 检索效果没有那么理想。因此个人结合前端页面,配置信息与实现流程,深入查看了私有化部署的 Dify 的技术细节。将核心内容整理在这边,方便大家根据实际的业务场景调整 Dify 知识库的配置,或者根据需要进行二次开发调优。
sql注入宽字节注入
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权的数据库操作。这可能导致数据泄露、数据篡改、绕过认证、获取系统权限等问题。 预防SQL注入的措施包括: - 使用参数化查询或预编译语句来处理数据库查询,而不是直接拼接用户输入的数据。 - 对用户输入进行严格的验证和过滤,避免将未经处理的输入直接传递给数据库查询。 - 最小化数据库用户的权限,并且仅分配最低必要的权限。 2. 宽字节注入宽字节注入是一种特定于某些数据库和编码方式的注入攻击方法。它利用了某些编码方式对特殊字符的处理不当,从而绕过了应用程序对输入进行过滤和验证的机制。攻击者可以通过插入字节字符来篡改SQL语句或绕过认证。 预防宽字节注入的措施包括: - 使用合适的编码方式,例如UTF-8,以避免特殊字符被误解释。 - 进行输入验证和过滤,确保特殊字符被正确处理,不会导致SQL语句的非预期解析。 - 定期更新数据库和应用程序架,以修复已知的宽字节注入漏洞。 总的来说,要防止SQL注入和宽字节注入等安全漏洞,应该采取综合性的安全措施,包括输入验证、参数化查询、最小权限原则、使用最新版本的软件以及定期进行安全审计和漏洞扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值