计算机网络安全技术 SQL注入之宽字节注入

2023年12月821:56:34发布者:EMT 116 views 举报
总字数:约1714字
第1页

宽字节注入是什么?

宽字节注入准确来说不是注入手法,而是另外一种比较特殊的情况。 宽字节注入的目的是绕过单双

引号转义。

宽字节注入是一种绕过单双引号转义的手段,严格来说并不是注入手段。

注入练习

让转义符失效

sqli-labs-32 关为例子,这一关会转义单双引号,所以没有办法进行 SQL 注入,输入下面语句:

返回页面如下:

计算机网络安全技术   SQL注入之宽字节注入

返回的 325c27 2\' ASCII 码转 16 进制的结果

\ 符号的 16 进制是 5c ,这时候想到 GBK 编码,如果能用 GBK 编码和 5c 配对,就能把 5c 变成 GBK 编码的一

部分,强制它变成汉字,从而让 \ 符号失效。

https://www.qqxiuzi.cn/bianma/zifuji.php 网站中查询 GBK 编码,在 5c 前面补两位数字,如 825C

查询出汉字,说明可以进行拼接。

hackbar URL 中输入

返回结果,转义符号已失效:

?id=2'

?id=2%82'

总页数:3
提示:下载前请核对题目。客服微信:diandahome
标题含“答案”文字,下载的文档就有答案
特别声明:以上内容(如有图片或文件亦包括在内)为“电大之家”用户上传并发布,仅代表该用户观点,本平台仅提供信息发布。