sql注入碰到加密数据怎么办

最新推荐文章于 2022-08-12 20:53:01 发布
最新推荐文章于 2022-08-12 20:53:01 发布
阅读量421 收藏 2
点赞数
分类专栏: 小课堂 文章标签: 渗透测试 网络安全 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/119839750
版权

 一、抓取登录数据包,cookie处有加密数据

二、判断加密方式

1、%3D,是“=”的URL编码,一般“%+两位十六进制数字”都是URL编码

2、前面一堆乱码后面“=”结尾的,首先考虑Base64编码

三、构造注入语句

1、获取数据库版本信息

' or updatexml(1,concat(0x7e,(version()),0x7e),0) or '

2、将上面语句base64编码

3、将编码后的内容写入封包,重新发送

4、爆出数据库版本信息

禁止非法,后果自负

欢迎关注公众号:web安全工具库

欢迎关注视频号:之乎者也吧

web安全工具库
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL Server数据加密功能解析
12-14
SQL Server 的数据加密相较于其他数据库,功能相对完善,加密方法较多。通常来讲,数据加密分为对称加密和非对称加密。对称加密加密与解密使用同一密钥,密钥需要传输,安全性较弱,但性能较非对称要好。非对称...
SQL注入漏洞测试(参数加密)———视频全过程
渗透测试
09-08 351
SQL注入漏洞测试(参数加密) 解题思路: 进入界面>>>扫描后台目录>>>发现解密相关php文件>>>进行代码审计>>>推算出加密过程(略)>>>使用手工注入(略)>>>得到账户密码(MD5解密)>>>登陆后台>>>拿到key 得到代码后也可以使用sqlmap进行脚本自动注入 需要分局解密过程编写php加密过程 <?php ##加密过程 $id = b
墨者mysql注入_墨者靶场:SQL注入漏洞测试(参数加密) 使用sqlmap进行注入
weixin_30695935的博客
01-19 1197
墨者靶场:SQL注入漏洞测试(参数加密) 使用sqlmap进行注入前言首先这是一个很基础的题,实战中也会遇到。比如说前端利用JavaScript公钥加密并传输给后端,后端通过私钥进行解密执行。这样做的好处就在于可以有效的避免了中间人攻击。跟SSL原理差不多 只是SSL在传输层做的 这种加密在应用层做的。我从来不写百度能查到的writeup,因为这种行为是无意义的。要写就写一些干货。这才是文章的价值...
SQL加解密注入详解
永远是少年
07-25 1392
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL加解密注入。 一、SQL加解密注入原理 二、SQL加解密注入靶场逻辑介绍 三、SQL加解密注入实战
SQL注入防御之参数加密
qq_39756628的博客
04-26 446
AES加密SQL参数靶场练习 资源路径: 墨者学院-在线靶场-数据库安全-SQL注入漏洞测试(参数加密) 技能要求: 信息泄露方式+AES加解密+PHP语法+手工SQL注入+mysql数据库结构 目标: 通过SQL注入方式,获取WEB业务系统的账号密码进行登录。 通关测试: 首先访问目标 使用AWVS先扫一遍:http://219.153.49.228:41606 使用浏览器访问扫描到的URL: http://219.153.49.228:41606/news/list.php?id=ZUlJOGMz
SQL数据加密
02-19
SQL数据加密
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL 注入天书.pdf
08-06
SQL 注入学习天书
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL注入篇--其他注入方式
qq_51003021的博客
08-12 593
SQL注入的其他种类注入方式
学习笔记UpdateXml() MYSQL显错注入
明哥哥知识分享
08-15 563
在学习之前,需要先了解 UpdateXml() 。 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格式,替换查找到的符合条件的数据 作用:改变文档中符合条件的节点的值 然后咱们再看看语句:http://
一道综合渗透题引发的updatexml()注入思考
Grey的博客
05-09 1万+
MYSQL数据库updatexml报错注入UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格...
加密的了解(DES/3DES/AES区别 )
热门推荐
大牛的IT征程
03-10 5万+
DES 1977年1月,美国政府颁布:采纳IBM公司设计的方案作为非机密数据的正式数据加密标准(DES Data Encryption Standard) 。 目前在国内,随着三金工程尤其是金卡工程的启动,DES算法在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收费站等领域被广泛应用,以此来实现关键数据的保密,如信用卡持卡人的PIN的加密传输,IC卡与POS间的双向认证、金融交
SQL注入之什么是加密注入|二次漏洞注入|DNSlog注入
向阳-Y.的博客
11-07 6910
加密注入、二次漏洞注入、DNSlog注入 加密注入: 什么是加密注入??下面将由一个例子阐述: 以sqlilabs-less-21为例 1.在登录界面输入账户密码提交抓包 2.在抓到这条数据,将umane的值进行base64解密: 解密结果为admin(注:%3D就是=号) 在admin的基础上进行修改,bb修改为: admin' or updatexml(1,concat(0x7e,(version())),0) or ' 以上代码为盲注中的报错注入(不懂的请点我) 再进行base64加密加密结果为
06_SQL注入_二次注入&加密解密
qq_42171569的博客
05-18 1038
06_SQL注入_加密注入&二次注入 1.加密注入 SQL注入的思路是用户用自定义语句和原本的SQL语句拼接,但有时开发者会对获取到的数据进行加密,那么对于渗透测试者而言如果想要在这样的情况下进行操作,则需要将自己的注入语句进行相同的加密处理后与原本的语句进行拼接。这种类型的大体思路和先前的思路整体无异,唯一的区别就是需要测试者先写好payload,再进行加密,随后将数据包放出进行注入尝试。 加密类型的注入SQLi-Labs中得到了复现,实验如下: 【靶场】SQLi-Labs less-21 【
sql注入的各种类型
xf555er的博客
03-21 3078
一、mysql报错注入: 1、利用到的mysql函数 extractvalue() 语法:extractvalue(目标xml文档,xml路径) 原理:函数第二个参数 xml路径是可操作的地方,xml路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。 updatexml() 语法:updatex...
SQL Server加密SQL注入
zhongqi的专栏
04-18 767
 SQL Server上的加密          SQL Server上内置了加密用来保护各种类型的敏感数据。在很多时候,这个加密对于你来说是完全透明的;当数据被存储时候被加密,它们被使用的时候就会自动加密。在其他的情况下,你可以选择数据是否要被加密SQL Server可以加密下列这些组件:      ·密码      ·存储过程,视图,触发器,用户自定义函数,默认值,和规则。      ·
sqlserver 数据加密
最新发布
09-22
SQL Server 中,可以使用加密功能来保护敏感的数据SQL Server 提供了以下几种加密选项: 1. 列级加密:可以使用 Always Encrypted 功能对特定列的数据进行加密数据在传输和存储过程中都会保持加密状态,只有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值