10 2022 档案
摘要:宽字节注入时是利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字 ,例如%aa%5c 就是一个 汉字(前一个 ascii 码大于 128 才能到汉字的范围)。我们在过滤单引号的时候,往往利用的思 路是使用函数将‘ 转换为 \’替换反斜杠,反斜杠的GBK编码为%5C,根据GBK编
阅读全文
摘要:在平时进行MySQL注入的过程当中,有时会遇到过滤关键字的情况,这篇文章就介绍绕过几种过滤关键字的方式。 绕过过滤and和or 打开sqli的第25关,看一下源代码 可以看出将AND和or过滤成了空格,不过可以通过双写绕过获取数据。 1.判断注入点,输入一个单引号发现报错可以判断出是一个注入点 2.
阅读全文
