XiaodiSec day027 Learn Note 小迪渗透学习笔记

XiaodiSec day027 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

27day 还是 sql

知识点

数据类型注入: 数字型,字符型,搜索型,加密型

开始

数字型

数字型是 0-9

字符型

字符型是 a-z 等

在接收 sql 时,格式可能时单引号内包变量

需要考虑到闭包

搜索型

加入通配符入* . ?等

编码型

数据以编码值传递

在注入时需要编码后提交,后端对其进行解码,尝试执行

加密型

数据以密文发送,涉及加密方面的内容

如 base64 加密,一般考虑解出明文再操作,即整体加密,对部分明文加密再拼接可能会影响密文结果

格式型

如 JSON 等格式

sqlmap 进阶使用

在 tamper 目录中 base64encode.py 可用 base64 编码尝试注入

宽字符绕过

php 中的 addslash 函数会添加反斜杠,如 simple' order by 使后面的攻击失效

\是一个字节,

中文是两个字节,使用中文将反斜杠出现的位置占用即可阻止反斜杠出现

相关推荐
im_AMBER3 小时前
学习日志19 python
python·学习
_Kayo_7 小时前
VUE2 学习笔记6 vue数据监测原理
vue.js·笔记·学习
chenchihwen7 小时前
大模型应用班-第2课 DeepSeek使用与提示词工程课程重点 学习ollama 安装 用deepseek-r1:1.5b 分析PDF 内容
人工智能·学习
超浪的晨7 小时前
Java UDP 通信详解:从基础到实战,彻底掌握无连接网络编程
java·开发语言·后端·学习·个人开发
使二颗心免于哀伤9 小时前
《设计模式之禅》笔记摘录 - 10.装饰模式
笔记·设计模式
悠哉悠哉愿意9 小时前
【电赛学习笔记】MaxiCAM 项目实践——与单片机的串口通信
笔记·python·单片机·嵌入式硬件·学习·视觉检测
快乐肚皮9 小时前
ZooKeeper学习专栏(五):Java客户端开发(原生API)详解
学习·zookeeper·java-zookeeper
慕y2749 小时前
Java学习第七十二部分——Zookeeper
java·学习·java-zookeeper
岩中竹10 小时前
广东省省考备考——常识:科技常识(持续更新)
笔记
★YUI★10 小时前
学习游戏制作记录(剑投掷技能)7.26
学习·游戏·unity·c#