摘要: 宽字节注入原理 什么是宽字节? 如果一个字符的大小是一个字节的,称为窄字节; 如果一个字符的大小是两个字节的,成为宽字节; 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节 英文默认占一个字节,中文占两个字节 什么是宽字节注入? 原理: 阅读全文
posted @ 2022-10-29 22:47 明月照江江 阅读(391) 评论(0) 推荐(0) 编辑
摘要: 输入框输入任何消息返回内容都是一样的 那么可以考虑插入sleep函数来观察响应时长来判断是否有注入点 输入 kobe' and sleep(3) # 发现页面缓冲3秒才响应,说明确实是注入点 通过if 判断条件为true,来执行sleep五秒,来判断if的条件是否正确 kobe' and if((s 阅读全文
posted @ 2022-10-29 21:33 明月照江江 阅读(210) 评论(0) 推荐(0) 编辑
摘要: 输入框中输入 已知用户名 kobe 显示了用户信息 your uid:3 your email is: kobe@pikachu 输入kobe'看一下情况 显示 您输入的username不存在,请重新输入! 这还不能确定是否存在注入点,换一种方式 kobe' and 1=1 # 可以显示出kobe的 阅读全文
posted @ 2022-10-29 18:11 明月照江江 阅读(111) 评论(0) 推荐(0) 编辑
摘要: 使用admin登录 显示以下内容 朋友,你好,你的信息已经被记录了:点击退出 你的ip地址:172.17.0.1 你的user agent:Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:105.0) Gecko/20100101 Firefox/105.0 你 阅读全文
posted @ 2022-10-29 17:22 明月照江江 阅读(45) 评论(0) 推荐(0) 编辑
摘要: 留言板输入几条信息 出现删除按钮,点他 通过burpsuite拦截请求,请求报文如下 GET /vul/sqli/sqli_del.php?id=57 HTTP/1.1 Host: 192.168.1.9:8080 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linu 阅读全文
posted @ 2022-10-29 16:37 明月照江江 阅读(83) 评论(0) 推荐(0) 编辑
摘要: insert 注入 (修改信息处是update注入,和此处同理) 注册页面,用户处输入 1' 发现报错信息 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server ver 阅读全文
posted @ 2022-10-29 15:44 明月照江江 阅读(201) 评论(0) 推荐(0) 编辑