MYSQL注入天书之宽字节注入

于 2020-07-14 08:05:28 发布
阅读量170 收藏
点赞数
分类专栏: # Sqllibs_master
原文链接:https://www.cnblogs.com/lcamry/p/5762943.html
版权

本文来自:
Background-7 宽字节注入

Less-32,33,34,35,36,37六关全部是针对’和\的过滤,所以我们放在一起来进行讨论。

对宽字节注入的同学应该对这几关的bypass方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。

原理:

mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思路是将 ’ 转换为 ’ (转换的函数或者思路会在每一关遇到的时候介绍)。

绕过思路

因此我们在此想办法将 ’ 前面添加的 \ 除掉,一般有两种思路:

  • 1.%df吃掉 \ 具体的原因是urlencode(’) = %5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此事%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。

  • 2.将 ’ 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。

xor0ne_10_01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MYSQL注入天书教程
02-08
SQLab是一个练习sql注入的平台,本文档介绍了平台搭建方法和每一关的详细讲解。
SQL 注入天书.pdf
08-06
《SQL注入天书》是针对这个主题的深度学习资源,旨在帮助读者理解SQL注入的工作原理,并提供实践平台sqli-labs进行技能提升。 **SQLI和sqli-labs介绍** SQL注入(SQL Injection)是网络渗透测试中的关键一环,涉及...
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中的mysql账号密码进行安装数据库...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
【创新未发表】Matlab实现黏菌优化算法SMA-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
PyTorch使用教程.pdf
07-29
PyTorch 是一个开源的机器学习库,广泛用于计算机视觉和自然语言处理等领域。以下是一个简化的 PyTorch 使用教程,不采用分点或Markdown格式。 首先,确保你安装了 PyTorch。你可以通过访问 PyTorch 官网获取安装指令,根据你的系统环境(如 Windows, macOS, Linux)和是否使用 GPU 支持进行安装。 安装完成后,你可以开始编写 PyTorch 代码了。 这里,我们将通过一个简单的例子来展示 PyTorch 的基本用法:创建一个简单的神经网络来识别手写数字(基于 MNIST 数据集)。
ubuntu man帮助手册
07-29
ubuntu man帮助手册
彩屏驱动开发技术资料提高篇TFT-51-11.zip
07-29
彩屏驱动开发技术资料提高篇TFT-51-11.zip
5.Android_音动炫彩3D播.zip
07-29
5.Android_音动炫彩3D播
500KW两级式光伏并网逆变系统分析与设计
07-29
本科毕业论文
【SCI一区】Matlab实现鱼鹰优化算法OOA-CNN-LSTM-Attention的风电功率预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
编译原理课程设计Python基于有穷自动机的类 C 语言词法分析器源代码+使用说明
07-29
本项目为一个基于有穷自动机的类 C 语言词法分析器,可以将一种类似 C 语言的源程序(不包含编译预处理指令)解析为以下五类 Token 构成的序列: 标识符(identifiers) 常量(constants) 关键字(keywords) 运算符(operators) 界符(bounds) 其中每一个 Token 为一个四元组,其格式为 <所在行号,所在列号,所属类别,内容。 文法规则 本项目提供一个默认的文法规则,也可通过修改默认的文法配置文件(grammars/grammar.json)实现自定义规则: 标识符仅能由字母、数字和下划线组成,且不能以数字开头。 常量包括整数(例如 123)、浮点数(例如 123.456)、字符(例如 'c')、字符串(例如 "string")、科学计数法表示的整数或浮点数(例如 2E5 和 1.23e-2)、复数(例如 1.5+3.8i)、布尔类型(true 和 false)。 仅支持十进制表示的数字。 关键字在 C 语言 32 个关键字的基础上添加 bool(表示布尔类型)和 complex(表示复数类型) 关键字。 运算符和界符与
18.android美图特效师.zip
07-29
18.android美图特效师
智慧农业物联网解决方案PPT(23页).pptx
07-29
智慧农业是一种结合了现代信息技术,包括物联网、大数据、云计算等,对农业生产过程进行智能化管理和监控的新模式。它通过各种传感器和设备采集农业生产中的关键数据,如大气、土壤和水质参数,以及生物生长状态等,实现远程诊断和精准调控。智慧农业的核心价值在于提高农业生产效率,保障食品安全,实现资源的可持续利用,并为农业产业的转型升级提供支持。 智慧农业的实现依赖于多个子系统,包括但不限于设施蔬菜精细化种植管理系统、农业技术资料库、数据采集系统、防伪防串货系统、食品安全与质量追溯系统、应急追溯系统、灾情疫情防控系统、农业工作管理系统、远程诊断系统、监控中心、环境监测系统、智能环境控制系统等。这些系统共同构成了一个综合的信息管理和服务平台,使得农业生产者能够基于数据做出更加科学的决策。 数据采集是智慧农业的基础。通过手工录入、传感器自动采集、移动端录入、条码/RFID扫描录入、拍照录入以及GPS和遥感技术等多种方式,智慧农业系统能够全面收集农业生产过程中的各种数据。这些数据不仅包括环境参数,还涵盖了生长状态、加工保存、检验检疫等环节,为农业生产提供了全面的数据支持。 智慧农业的应用前景广阔,它不仅能够提升农业生产的管理水平,还能够通过各种应用系统,如库房管理、无公害监控、物资管理、成本控制等,为农业生产者提供全面的服务。此外,智慧农业还能够支持政府监管,通过发病报告、投入品报告、死亡报告等,加强农业产品的安全管理和质量控制。 面对智慧农业的建设和发展,存在一些挑战,如投资成本高、生产过程标准化难度大、数据采集和监测的技术难题等。为了克服这些挑战,需要政府、企业和相关机构的共同努力,通过政策支持、技术创新和教育培训等手段,推动智慧农业的健康发展。智慧农业的建设需要明确建设目的,选择合适的系统模块,并制定合理的设备布署方案,以实现农业生产的智能化、精准化和高效化。
JavaScript第九天.xmind
07-29
js知识总结 MouseEvent属性: 1.clientX,clientY(点击位置距离当前body可视区域的x,y) 2.pageX,pageY(对于整个页面来说,包括被卷去的body部分的长度) 3.screenX,screenY(点击位置距离当前电脑屏幕的x,y坐标) 4.offsetX,offsetY(鼠标相对于事件源元素的x,y坐标) 元素的offset属性: 1.offsetTop: 元素相对父元素上边的偏移。(只读) 2.offsetLeft: 元素相对父元素左边的偏移。(只读) 3.offsetWidth: 自身包括padding 、 边框、内容区的宽度。 4.offsetHeight: 自身包括padding、边框、内容区的高度。 5.offsetParent: 作为偏移参照点的父级元素。 元素的client属性: 1.clientHeight(clientWidth):内容可视区域的高度/宽度 2.clientLeft,clientTop:这两个返回的是元素周围边框的厚度
【创新未发表】Matlab实现秃鹰优化算法BES-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
SparkShop小程序商城系统 支持多端,并带有分销功能,可用于商业用途
07-29
SparkShop(星火商城)是一个基于ThinkPHP6 + Element UI的开源免费高性能商城系统,可用于商业用途。它包括小程序商城、H5商城、公众号商城、PC商城和App,支持页面DIY、秒杀、优惠券、积分、分销、会员等级等功能。该系统采用插件化的方式实现营销功能,方便扩展和二次开发。
DockerDocker基础入门
最新发布
07-29
本系列博客文章旨在为初学者提供一个全面而深入的 Docker 学习资源。旨在帮助初学者从零开始,一步步掌握 Docker 的核心技术和应用。资源包含了详细的操作指南和深入的技术解析,涵盖了从 Docker 安装、基础命令的使用,到容器的管理与操作,以及镜像的创建与分发等全方位的内容。 为了方便不同需求的读者,我们提供了两种格式的资源:Markdown 版本方便在 GitHub 或其他支持 Markdown 的编辑器中阅读和编辑,而 PDF 版本则适合打印或在移动设备上阅读。无论您是更喜欢在线阅读还是离线学习,都可以找到适合您的学习方式。 通过本系列文章,您将能够: 掌握 Docker 安装:了解如何在多种操作系统上安装和配置 Docker,为后续的学习打下坚实的基础。 具体操作:学习 Docker 日常使用中的基本命令和操作流程,包括容器的启动、停止和移除等。 Docker 命令:深入了解 Docker 的命令行工具,包括如何下载和管理镜像,以及如何监控和调试容器。 下载和启动容器:获取所需的镜像并启动容器,理解容器与镜像间的关系。 参数和命令详解:详细解释 Docker 命令的
PHP+MySQL注入详解与防范策略
SQL Injection with MySQL 注入分析是一篇由作者angel原创的IT技术文章,主要针对国内相对较少见的php+MySQL编程环境下的SQL注入问题进行深入探讨。随着Web应用程序的发展,SQL注入已经成为一种常见的安全漏洞,尤其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值