sql注入总结---(3)

最新推荐文章于 2022-04-27 14:44:59 发布
最新推荐文章于 2022-04-27 14:44:59 发布
阅读量208 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_Grant/article/details/101071176
版权

文章目录

一, 宽字节注入

(1)什么时候想到这种注入方法

在寻找注入点时,回显出现id=1\'

  • 在这里插入图片描述

(2)防护思路和代码分析

防护思路

  • 使用addslashes($_GET['id'])函数对传来的参数使用反斜线转义,1' ----->1\'
  • 使得参数无法逃逸引号的包围,不能执行恶意SQL语句。
  • 在这里插入图片描述

(3)漏洞原因和利用

GBK编码中汉字占用两个字

  • 当数据库的编码为GBK时,可以利用宽字节注入

/ 的URL编码为 %5c

的GBK编码为 %df%5c

根据这个特性可以构造payload注入

【payload】
         ?id=1%df'  .......
  • 在这里插入图片描述

(4)漏洞利用条件

数据库编码为GBK

  • 在这里插入图片描述
冗长
关注
sql-labs通关技巧
03-01
总结来说,SQL注入的关键在于识别注入点,确定注入类型,收集信息,然后逐级爆破。`sqlmap`作为一个强大的自动化工具,能够极大地提高渗透测试的效率。在进行SQL注入,理解注入原理,熟悉SQL语句,结合自动化工具...
SQL注入-高权限注入(上)
m0_73902453的博客
07-23 964
在上上个文章中有提到,在我们搭建的mysql数据库的服务器中包含4个数据库,分别数information_schema库,informance_schema库,mysql库,以及sys库,其中mysql库里就有保存我们用户的一些信息,包括能够访问的权限等。高权限注入就是例如网站A含有SQL注入漏洞,那我们注入后通过MYSQL服务器不止能够访问数据库A还可以同对数据库B进行查看,但前提是网站A使用的账号也就是访问的用户权限足够访问数据库B,一般是root权限等。首先我们要知道MYSQL的权限级别有哪些。
系列2:5、sql注入之高权限注入
qq_44704184的博客
03-25 3911
sql注入之高权限注入 在数据库中区分有数据库系统用户与数据库**普通用户,**二者的划分主要体现在对一些高级函数与资源表的访问权限上。直白一些就是高权限系统用户拥有整个数据库的操作权限,而普通用户只拥有部分已配置的权限。 网站在创建的候会调用数据库链接,会区分系统用户链接与普通用户链接;当多个网站存在一个数据库的候.root就拥有最高权限可以对多个网站进行管辖,普通用户仅拥有当前网站和配置的部分权限。所以当我们获取到普通用户权限,我们只拥有单个数据库权限,甚至文件读写失败;取得高权限用户权限,不仅可
SQL注入之权限提升
Jim的博客
08-14 5551
二区分数据库服务器类型 SQL Server备忘单: select @@version;  获取版本 select db_name(); 获取当前数据库 select user; 获取当前用户
sql注入(笔记)
idooooo的博客
07-18 693
mysql注入一般注入,select注入 1.注释符号# /* --2.过滤空格注入使用/**/或()或+代替空格%0c = form feed, new page %09 = horizontal tab %0d = carriage return %0a = line feed, new line 3.多条显示 concat() group_concat() concat_ws() #
sql注入知识点
m0_55772907的博客
04-27 3696
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
09-sql注入-mssql1
08-03
SQL注入是一种常见的安全漏洞,攻击者通过输入恶意SQL语句来获取未授权的数据或执行恶意操作。针对SQL Server,攻击者可能使用的注入技术包括: 1. 判断是否存在注入漏洞。 2. 确定数据库类型。 3. 猜测表名和字段。...
php登录页面实现-SQL注入
03-07
3. 如何防止SQL注入: - 使用参数化查询:无论是`mysqli_prepare()`结合`mysqli_stmt_bind_param()`还是PDO的预处理语句,都可以有效地防止SQL注入,因为它们将用户输入的数据和SQL语句结构分开。 - 输入验证:...
360天擎-前台sql注入1
08-03
根据给定的信息,本文将详细解释“360天擎-前台SQL注入1”的知识点,包括如何利用SQL注入漏洞在360天擎系统中执行恶意代码。 ### SQL注入漏洞概述 SQL注入是一种常见的Web安全漏洞,攻击者可以通过在应用程序输入...
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
【SCI2区】白鲸算法BWO-BiTCN-BiGRU-Attention风电预测【含Matlab源码 8071期】.zip
10-01
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2023b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化-BiTCN-BiGRU-Attention风电预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化-BiTCN-BiGRU-Attention风电预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化-BiTCN-BiGRU-Attention风电预测 4.4.3 灰狼算法GWO/狼群算法WPA优化-BiTCN-BiGRU-Attention风电预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化-BiTCN-BiGRU-Attention风电预测 4.4.5 萤火虫算法FA/差分算法DE优化-BiTCN-BiGRU-Attention风电预测 4.4.6 其他优化算法优化-BiTCN-BiGRU-Attention风电预测
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DW
10-01
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DWT。实现方式流程为_digital-watermarking
基于天勤接口和Python的开源期货实盘交易系统设计源码
10-01
该项目为开源的期货实盘交易系统,采用Python语言进行开发,并通过天勤接口实现数据交互。源码共包含21个文件,其中Python文件7个,编译后的Python字节码文件6个,YAML配置文件5个,Markdown文档2个,以及一个LICENSE文件。该系统旨在为用户提供一个高效的期货交易解决方案。
收集了电影数据,对数据进行细致化的分类和分析,满足你的电影认知需求~_iMovie-.zip
最新发布
10-01
收集了电影数据,对数据进行细致化的分类和分析,满足你的电影认知需求~_iMovie-
PyTorch入门:Fashion-Mnist数据集分类模型_Fashion-MNIST-Classification.zip
10-01
PyTorch入门:Fashion-Mnist数据集分类模型_Fashion-MNIST-Classification
【SCI2区】白冠鸡算法COOT-BiTCN-BiGRU-Attention风电预测【含Matlab源码 8070期】.zip
10-01
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2023b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化-BiTCN-BiGRU-Attention风电预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化-BiTCN-BiGRU-Attention风电预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化-BiTCN-BiGRU-Attention风电预测 4.4.3 灰狼算法GWO/狼群算法WPA优化-BiTCN-BiGRU-Attention风电预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化-BiTCN-BiGRU-Attention风电预测 4.4.5 萤火虫算法FA/差分算法DE优化-BiTCN-BiGRU-Attention风电预测 4.4.6 其他优化算法优化-BiTCN-BiGRU-Attention风电预测
基于微信小程序的奶茶点餐小程序的开题报告.docx
10-01
基于微信小程序的奶茶点餐小程序的开题报告.docx
windows快捷键冲突检测:OpenArk-v1.3.6.zip
10-01
windows快捷键冲突检测:OpenArk-v1.3.6.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值