sqli-labs关卡25(基于get提交的过滤and和or的联合注入)

已于 2024-01-16 19:56:50 修改
阅读量1.4k 收藏 24
点赞数 24
文章标签: web安全 sql
于 2024-01-16 19:09:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyh1588/article/details/135631902
版权

文章目录

前言

此文章只用于学习和反思巩固sql注入知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!

一、回顾上一关知识点

上一关是过滤了注释符,导致单引号不能被过滤掉而闭合,得通过构造and '1'='1or '1'='1在payload后面才能成功把多余的单引号闭合。这一关是过滤了and和or,让我们看看如何绕过。

二、靶场第二十五关通关思路

  • 1、判断注入点
  • 2、爆字段个数
  • 3、爆显位位置
  • 4、爆数据库名
  • 5、爆数据库表名
  • 6、爆数据库列名
  • 7、爆数据库数据

1、判断注入点

打开二十五关,发现是get提交的注入类型,老规矩用万能语句and 1=1和 and 1=2测试,发现回显正常,还发现语句返回页面的时候and被过滤了,这里说明这一关是过滤掉and和or了.( 如图所示)
在这里插入图片描述
为了进一步猜想是不是过滤了and和or我们看看源码,发现and和or被替换为空了(如图所示)
在这里插入图片描述
这里我们有三种方法绕过and,
第一种是双写and
因为它把and替换为空,而且只过滤一次。如果是anandd的话经过后端过滤应该变成and。
第二种是利用逻辑运算符
and对应的机器语言是&&,or对应的是||
第三种是用url编码
and对应的机器语言是&&,若&&无法绕过,可以试着利用&的url编码绕过,&&url编码为%26%26。当然&&能绕过更好。
绕过的方法有很多这里不多举例,这里我用双写绕过。
最终发现是单引号闭合,payload为(如图所示)

id=1' anandd
最低0.47元/天 解锁文章
上班摸鱼神器-纯透明小说阅读工具
04-18
1、纯透明背景,默认的灰色字体,放桌面任何位置都合适。 2、可设置鼠标移出隐藏/移入显示,全局快捷键隐藏显示。 3、可设置字体透明度,字体颜色,字体大小。 4、可设置滚动条隐藏、任务栏隐藏、小图标隐藏。 5、可...
CodeBuddy 】让网页导航栏变为摸鱼神器
german88的博客
05-20 894
本文介绍了一款名为“摸鱼小说栏”(MoyuNovelBar)的谷歌浏览器插件的设计与开发过程。该插件旨在将小说内容嵌入网页导航栏,提供极简无痕的阅读体验,支持内容自定义、滚动速度调节、本地存储和友好交互等功能。开发过程中,使用了腾讯云代码助手CodeBuddy,该工具提供了智能代码生成、补全和优化建议,显著提高了开发效率。插件通过Chrome扩展管理页面加载,用户可以直接编辑、上传或粘贴小说内容,并通过简单的交互操作控制阅读过程。本文展示了AI编程助手在软件开发中的实际应用和优势,推荐开发者尝试使用类似工具
vscode-plugin-swimming:vscode插件。模拟写代码,划水,摸鱼神器
05-06
VSCode模拟写代码,划水,摸鱼神器。代码写的快,提早完工被压榨怎么办?你需要一个模拟写代码工具,让代码自己重写一遍。当然也可以用来CodeReview做酷炫的效果让团队其他人猜猜后面的代码如何写。 安装方法 在...
摸鱼神器财神到股票盯盘助手【2025-4-22更新】
03-31
1、窗体透明,不遮挡任何底层文字; 2、窗体可拖动,拖拽到任意合适位置进行盯盘; 3、可自定义显示字段和前后位置调整; 4、快捷键快速隐藏窗体; 5、自定义显示行数,轮番滚动显示; 6、消息预警功能,可根据...
探索12种创意网页导航栏样式
考虑到“特殊效果”标签,我们还可以想象到导航栏可能被赋予的一些动态交互性,例如动画过渡、悬停效果、滚入效果等。为了确保导航栏在不同的浏览器和设备上都能正常工作,开发者需要进行充分的测试,并可能需要使用...
计算机视觉_图像处理_深度学习_机器学习_人工智能_pybind11_OpenCV_numpy_C_Python_跨语言交互_数据转换_矩阵运算_图像分析_算法实现_高性能计算_科学计算_数值.zip
05-31
计算机视觉_图像处理_深度学习_机器学习_人工智能_pybind11_OpenCV_numpy_C_Python_跨语言交互_数据转换_矩阵运算_图像分析_算法实现_高性能计算_科学计算_数值.zip
Delphi 控件之unrxlib-275-u-1-0-19.rar
最新发布
06-01
Delphi 控件之unrxlib_275_u_1_0_19.rar
电力电子领域非隔离双向DC-DC Buck-Boost变换器MatlabSimulink仿真模型及其双闭环控制应用
05-31
内容概要:本文深入探讨了非隔离双向DC-DC Buck-Boost变换器的工作原理及其在Matlab/Simulink环境下的仿真建模方法。文中详细描述了变换器的主电路和控制电路设计,特别是采用了电压外环电流内环的双闭环控制方式来确保系统在不同工作状态下的稳定性。具体来说,在正向运行时,直流电压源可以为蓄电池提供恒流恒压充电;而在反向运行时,蓄电池能放电以维持直流侧电压稳定。通过一系列仿真实验,验证了所提模型的有效性和可靠性。 适合人群:对电力电子系统有兴趣的研究人员和技术爱好者,尤其是那些希望深入了解非隔离双向DC-DC变换器以及掌握Matlab/Simulink仿真技能的人士。 使用场景及目标:适用于需要评估或改进非隔离双向DC-DC变换器性能的研究项目;也可用于教学环境中帮助学生更好地理解相关理论知识并培养实际操作能力。 其他说明:文中提供的仿真模型不仅有助于理解变换器的基本运作机制,还为进一步探索其性能优化和控制策略奠定了坚实的基础。
基于拖火车混合A算法的路径规划技术研究
05-31
内容概要:本文深入探讨了拖火车混合A*路径规划算法,首先简述了经典A*算法的基础概念及其核心公式f(n) = g(n) + h(n),并提供了简单的网格地图A*算法实现代码。接着重点介绍了拖火车混合A*算法对传统A*算法的改进之处,特别是针对拖火车这种长形物体在复杂环境中移动的特点,增加了车身长度和转弯半径等因素作为额外约束条件,确保路径规划更加贴合实际情况。最后展示了改进后的算法在自动化物流园区拖车调度等领域的潜在应用场景。 适合人群:对路径规划算法感兴趣的开发者和技术爱好者,尤其是那些希望深入了解A*算法变种的人群。 使用场景及目标:适用于需要解决长形物体如拖火车在复杂环境中的最优路径寻找问题的研究人员或工程师。目标是提高路径规划效率,减少碰撞风险,提升运输系统的智能化水平。 其他说明:文中不仅有理论讲解还有具体的代码实例,有助于读者更好地理解和掌握这一算法的具体实现方法。
计算机视觉_树莓派_OpenCV3源码编译_基于Whiptail菜单驱动的自动化安装脚本_用于在RaspberryPi系统上通过交互式菜单界面完成OpenCV3从源码编译安装的全过程_包含系统.zip
05-31
计算机视觉_树莓派_OpenCV3源码编译_基于Whiptail菜单驱动的自动化安装脚本_用于在RaspberryPi系统上通过交互式菜单界面完成OpenCV3从源码编译安装的全过程_包含系统.zip
医疗美容网络咨询话术参考修改.doc
05-31
医疗美容网络咨询话术参考修改.doc
Matlab光场调控仿真代码(全套复现论文):非线性光学领域分布傅立叶算法的数值求解 Matlab 2024版
05-31
内容概要:本文介绍了基于Matlab的一套完整的光场调控仿真代码,特别适用于非线性光学领域的研究。文中详细解释了非线性薛定谔方程及其分布傅立叶算法的数值求解方法,包括光场函数设定、算法实现步骤、仿真结果输出与可视化等功能。此外,还提供了代码使用的具体指导和调试技巧,旨在帮助使用者深入理解和掌握光场调控的原理和技术。 适合人群:主要面向从事非线性光学研究的本科生和研究生,尤其是那些正在进行毕业设计或理论研究的学生。 使用场景及目标:①作为本科生毕设项目的一部分,帮助学生完成高质量的科研成果;②辅助研究生进行理论研究,加深对非线性光学现象的理解;③为后续实验研究提供理论依据和支持。 其他说明:该代码不仅有助于学术研究,也为未来的光学技术创新和发展奠定了坚实的基础。
深度学习实验报告.doc
05-31
以下是为“深度学习实验报告.doc”生成的资源描述,采用推荐格式并突出价值点: --- **内容概要** 本实验报告详细记录了基于Transformer架构的神经机器翻译系统开发全流程,涵盖中文到英文的翻译任务实现。包含完整的技术方案设计、PyTorch代码实现、超参数调优过程、训练可视化分析及BLEU评估结果,特别包含Transformer核心模块(多头注意力/位置编码)的代码级解析。 **适用人群** 1. 高校人工智能/计算机专业学生(课程设计/实验报告参考) 2. NLP入门学习者(Transformer实战案例) 3. 需要快速构建机器翻译系统的开发者 使用场景及目 课程作业:直接引用报告框架完成深度学习课程实验 毕业设计:提供完整可运行的PyTorch代码(含数据预处理/训练/评估) 技术预研**:Transformer模型在翻译任务中的性能验证基准 - 面试准备**:深入理解Attention机制及工业级实现细节
Fluent模拟计算工具-湍流计算器k-e-Re雷诺数-湍流动能-湍流强度.zip
05-31
一个模拟小工具 1.可通过输入,平均速度、特征长度、粘度、计算得到:湍动能K、湍流耗散率e、湍流雷诺数等 2.在使用fluent等模拟工具时,输入这些数字,进行计算
MatlabSimulink在光储系统与多能源发电系统建模仿真中的应用 · 模糊控制
05-31
内容概要:本文详细介绍了Matlab/Simulink在多个能源系统建模中的应用,涵盖光储系统、永磁同步发电机、抽水蓄能、光伏发电、pemfc、锂离子电池、电解槽系统、逆变器、模糊控制、柴油机、小车倒立摆模型、三轮车悬挂模型、飞轮储能、高压输电、直扩通信系统、汽轮机以及多模块耦合互补发电等多个领域的系统构建。文中不仅提供了具体的建模步骤和代码示例,还深入探讨了各个系统的关键参数和控制策略,展示了Simulink的强大建模能力。 适合人群:从事电气工程、自动化控制、新能源技术等领域研究和开发的技术人员,尤其是对Matlab/Simulink有一定基础的工程师。 使用场景及目标:适用于希望深入了解和掌握各类能源系统建模方法和技术细节的专业人士,旨在帮助他们提高建模效率,优化系统性能,解决实际工程项目中的难题。 其他说明:文章通过具体案例和代码片段,使读者可以直观理解和实践复杂的理论概念,从而更好地应用于实际项目中。
java 项目开发实验三.doc
05-31
java 项目开发实验三.doc
谷歌相机75合1_IQOO&一加.apk
05-31
谷歌相机75合1_IQOO&一加.apk
优化A星算法:动态加权代价函数提升搜索效率,内切圆平滑非光滑转折,减少冗余路径与节点,大幅降低路径长度与提升平滑性 · 启发式搜索 高效版
05-31
内容概要:本文详细介绍了如何通过改进A星算法来优化路径搜索和路径平滑性。首先,提出了动态加权代价函数的概念,通过为不同的路径因素分配权重值,使算法能够更精确地评估节点代价,减少无关节点的搜索。其次,采用启发式搜索策略和剪枝算法去除冗余路径点和路段,降低了路径长度。最后,利用内切圆平滑技术优化路径的转折角,提高了路径的平滑性和连续性。实验结果显示,改进后的A星算法在复杂环境中显著提升了路径规划的效率和质量。 适合人群:从事路径规划、自动驾驶、机器人导航等领域研究的技术人员和研究人员。 使用场景及目标:适用于需要高效路径规划的应用场景,如无人驾驶车辆、无人机飞行路径规划、物流配送机器人等。目标是提高路径规划的效率,减少冗余路径,提升路径平滑性和连续性。 其他说明:文中提供了部分代码实现,帮助读者更好地理解和应用改进后的A星算法。未来的研究方向包括将更多人工智能技术融入路径规划,以实现更智能、高效的导航系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

懵懂的安全小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值