网络信息安全学习平台-注入关3宽字节注入
时间:2016-08-27 作者:zhankehua 评论:0 点击:2609 次
题目:防注入
小明终于知道,原来黑客如此的吊,还有sql注入这种高端技术,因此他开始学习防注入!
flag是随机序列
在做本题时,想到了很多编码方法,结果就是不报错,没有任何反映。后来在查看提示(有人在讨论中提到宽这字节注入)
心想,所有的方法都试了,唯独宽字节没试,以前也没接触过宽字节,网上搜索了一些资料后,在本题测试结果真的报错了。
说明存在宽字节注入:
知道了注入,那就好办了,接着输入
这只是查询了一行显示,要想显示不同的行(flag肯定在别的行中)使用limit
当使用limit 2,1时,等到了flag
需进一步研究宽字节注入的原理,这里的%df就是宽字节
经测试,只要是宽字节都可以比如使用%e0。大于127的均为宽子节,如下图
本文标签:
转载请注明出处: http://www.itsec365.cn/?id=12
- 上一篇:利用MySQL的报错进行爆库
- 下一篇:网络信息安全学习平台---脚本关第14题