XiaodiSec day027 Learn Note 小迪渗透学习笔记

XiaodiSec day027 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

27day 还是 sql

知识点

数据类型注入: 数字型,字符型,搜索型,加密型

开始

数字型

数字型是 0-9

字符型

字符型是 a-z 等

在接收 sql 时,格式可能时单引号内包变量

需要考虑到闭包

搜索型

加入通配符入* . ?等

编码型

数据以编码值传递

在注入时需要编码后提交,后端对其进行解码,尝试执行

加密型

数据以密文发送,涉及加密方面的内容

如 base64 加密,一般考虑解出明文再操作,即整体加密,对部分明文加密再拼接可能会影响密文结果

格式型

如 JSON 等格式

sqlmap 进阶使用

在 tamper 目录中 base64encode.py 可用 base64 编码尝试注入

宽字符绕过

php 中的 addslash 函数会添加反斜杠,如 simple' order by 使后面的攻击失效

\是一个字节,

中文是两个字节,使用中文将反斜杠出现的位置占用即可阻止反斜杠出现

相关推荐
RainCity2 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
LinXunFeng10 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
通信小呆呆14 天前
当算法有了“五感”:多模态数据融合如何向人体感官协同学习?
人工智能·学习·算法·机器学习·机器人
H__Rick14 天前
自动对焦学习-3
人工智能·学习·计算机视觉
Daisy Lee14 天前
量化学习-第1章-什么是量化金融
学习·金融·datawhale
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
YM52e14 天前
买菜计算器小应用 - HarmonyOS ArkUI 开发实战-PC版本
学习·华为·harmonyos·鸿蒙·鸿蒙系统
小雨下雨的雨14 天前
HarmonyOS ArkUI训练营入门-组件掌握系列-Animation 动画效果实现-PC版本
学习·华为·harmonyos·鸿蒙
闪闪发亮的小星星14 天前
高斯光以及高斯光公式解释
笔记
cqbzcsq14 天前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息